更换SSL Certificates

鉴于众所周知的原因,一直想换个CA的证书,Let's Encrypt是一个很好的选择,免费!支持ACME protocol(Automatic Certificate Management Environment,全自动服务器身份验证协议)、支持ECC证书、使用简便,非常推荐!我要去给它捐赠,贡献点绵力。

获取证书我没有使用官方的方法,而是使用了acme.sh,比官方的脚本更加简便。另外还有一个类似的acme-tiny,有兴趣也可以看看。

1、获取脚本

git clone https://github.com/Neilpang/acme.sh

 

2、申请证书:我采用的DNS验证,操作完成后需要按提示设置DNS对应TXT的记录;ec-256表示ECC证书

acme.sh --issue --dns -d xxx.net -d www.xxx.net --keylength ec-256

 

3、生成证书:DNS生效后,就可以获取证书了;--ecc表示ECC证书

acme.sh --renew -d xxx.net -d www.xxx.net --ecc

 

4、最后把生成的cert key和full chain certs配置到Nginx中即可。

 

 

5、自动化更新:写个脚本定期执行下即可

acme.sh --renew -d xxx.net -d www.xxx.net --ecc
acme.sh --renew -d xxx.net -d www.xxx.net --force --ecc   #未到期强制更新

 

观察几个月,如无问题,就准备全站HTTPS了。

 

参考文章:《Let's Encrypt,免费好用的 HTTPS 证书》、《开始使用 ECC 证书