Title

letsencrypt 证书签发机构

官网
GitHub - letsencrypt/letsencrypt

letscrypt 证书签发及使用问题

1
2
3
$ git clone https://github.com/letsencrypt/letsencrypt.git
$ cd letsencrypt
$ sudo ./letsencrypt-auto --help

首先停止服务器正在运行的 nginx 服务器

  • To obtain a cert using a “standalone” webserver (you may need to temporarily stop your exising webserver) for example.com and www.example.com:

以下商运相关

  • # .coopens.com Certificate # sy.include.d/server_ssl_coopens_com.conf*
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
./letsencrypt-auto certonly --standalone --email admin@coopens.com \
-d coopens.com \
-d www.coopens.com \
-d 56.coopens.com \
-d app.coopens.com \
-d gp.coopens.com \
-d dp.coopens.com \
-d cp.coopens.com \
-d lp.coopens.com \
-d pp.coopens.com \
-d mp.coopens.com \
-d im.coopens.com \
-d sns.coopens.com \
-d blog.coopens.com \
-d lw.coopens.com \
-d ma.coopens.com \
-d mirror.coopens.com \
-d open.coopens.com \
-d pay.coopens.com \
-d forum.coopens.com \
-d mas.coopens.com \
-d was.coopens.com \
-d gps.coopens.com
  • # .nocs.com Certificate # sy.include.d/server_ssl_nocs_cn.conf*
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
./letsencrypt-auto certonly --standalone --email admin@nocs.cn \
-d nocs.cn \
-d www.nocs.cn \
-d 56.nocs.cn \
-d app.nocs.cn \
-d gp.nocs.cn \
-d dp.nocs.cn \
-d cp.nocs.cn \
-d lp.nocs.cn \
-d pp.nocs.cn \
-d mp.nocs.cn \
-d im.nocs.cn \
-d sns.nocs.cn \
-d blog.nocs.cn \
-d lw.nocs.cn \
-d ma.nocs.cn \
-d mirror.nocs.cn \
-d open.nocs.cn \
-d pay.nocs.cn \
-d forum.nocs.cn \
-d mas.nocs.cn \
-d was.nocs.cn \
-d gps.nocs.cn
  • # .coam.com Certificate # sy.include.d/server_ssl_coam_co.conf*
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
./letsencrypt-auto certonly --standalone --email admin@coam.co \
-d coam.co \
-d www.coam.co \
-d 56.coam.co \
-d app.coam.co \
-d gp.coam.co \
-d dp.coam.co \
-d cp.coam.co \
-d lp.coam.co \
-d pp.coam.co \
-d mp.coam.co \
-d im.coam.co \
-d sns.coam.co \
-d blog.coam.co \
-d lw.coam.co \
-d ma.coam.co \
-d mirror.coam.co \
-d open.coam.co \
-d pay.coam.co \
-d forum.coam.co \
-d mas.coam.co \
-d was.coam.co \
-d gps.coam.co
  • # .syam.com Certificate # sy.include.d/server_ssl_syam_cc.conf*
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
./letsencrypt-auto certonly --standalone --email admin@syam.cc \
-d syam.cc \
-d www.syam.cc \
-d 56.syam.cc \
-d app.syam.cc \
-d gp.syam.cc \
-d dp.syam.cc \
-d cp.syam.cc \
-d lp.syam.cc \
-d pp.syam.cc \
-d mp.syam.cc \
-d im.syam.cc \
-d sns.syam.cc \
-d blog.syam.cc \
-d lw.syam.cc \
-d ma.syam.cc \
-d mirror.syam.cc \
-d open.syam.cc \
-d pay.syam.cc \
-d forum.syam.cc \
-d mas.syam.cc \
-d was.syam.cc \
-d gps.syam.cc
  • # .lonal.com Certificate # sy.include.d/server_ssl_lonal_com.conf*
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
./letsencrypt-auto certonly --standalone --email admin@lonal.com \
-d lonal.com \
-d www.lonal.com \
-d 56.lonal.com \
-d app.lonal.com \
-d gp.lonal.com \
-d dp.lonal.com \
-d cp.lonal.com \
-d lp.lonal.com \
-d pp.lonal.com \
-d mp.lonal.com \
-d im.lonal.com \
-d sns.lonal.com \
-d blog.lonal.com \
-d lw.lonal.com \
-d ma.lonal.com \
-d mirror.lonal.com \
-d open.lonal.com \
-d pay.lonal.com \
-d forum.lonal.com \
-d mas.lonal.com \
-d was.lonal.com \
-d gps.lonal.com
  • # .iirii.com Certificate # sy.include.d/server_ssl_iirii_com.conf*
1
2
3
4
5
6
./letsencrypt-auto certonly --standalone --email admin@iirii.com \
-d iirii.com \
-d www.iirii.com \
-d wp.iirii.com \
-d ftp.iirii.com \
-d sarah.iirii.com
  • # .iirii.com Certificate # sy.include.d/server_ssl_coopens_com_ali.conf*
1
2
3
4
5
./letsencrypt-auto certonly --standalone \
-d acw.iirii.com \
-d acs.iirii.com \
-d acr.iirii.com \
-d axp.iirii.com
  • # .iirii.com Certificate # sy.include.d/server_ssl_iirii_com_mos.conf*
1
2
3
4
5
./letsencrypt-auto certonly --standalone \
-d mcw.iirii.com \
-d mcs.iirii.com \
-d mcr.iirii.com \
-d mxp.iirii.com
  • # .iirii.com Certificate # sy.include.d/server_ssl_iirii_com_vultr.conf*
1
2
3
4
5
./letsencrypt-auto certonly --standalone \
-d vcw.iirii.com \
-d vcs.iirii.com \
-d vcr.iirii.com \
-d vxp.iirii.com

以下医院相关

  • # .apolloyl.com Certificate # sy.include.d/server_ssl_apolloyl_com.conf*
1
2
3
4
5
./letsencrypt-auto certonly --standalone \
-d apolloyl.com \
-d www.apolloyl.com \
-d mirror.apolloyl.com \
-d t.apolloyl.com
  • # .yntongji.com Certificate # sy.include.d/server_ssl_yntongji_com.conf*
1
2
3
4
5
./letsencrypt-auto certonly --standalone \
-d yntongji.com \
-d www.yntongji.com \
-d open.yntongji.com \
-d t.yntongji.com
  • # .hszhyy120.com Certificate # sy.include.d/server_ssl_hszhyy120_com.conf*
1
2
3
4
5
./letsencrypt-auto certonly --standalone \
-d hszhyy120.com \
-d www.hszhyy120.com \
-d open.hszhyy120.com \
-d t.hszhyy120.com

To obtain a cert using the “webroot” plugin, which can work with the webroot directory of any webserver software:

1
./letsencrypt-auto certonly --webroot -w /var/www/example -d example.com -d www.example.com -w /var/www/thing -d thing.is -d m.thing.is
  • 完成以上命令 最后提示如下成功信息
1
2
3
4
5
6
7
8
9
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/coopens.com/fullchain.pem. Your cert will
   expire on 2016-03-22. To obtain a new version of the certificate in
   the future, simply run Let's Encrypt again.
 - If you like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le
  • 按提示在 /etc/letsencrypt/live/coopens.com/fullchain.pem 四个文件
1
2
3
4
cert.pem 
chain.pem
fullchain.pem
privkey.pem

修改相应的 coopens.com 配置ssl证书指向

1
2
3
4
#ssl_certificate /data/home/yzhang/GlobalSign/SYAM/syam.crt;
#ssl_certificate_key /data/home/yzhang/GlobalSign/SYAM/syam.key;
ssl_certificate /etc/letsencrypt/live/coopens.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/coopens.com/privkey.pem;

最后重启 nginx 即可

  • 配置 ocsp 根证书
1
cat fullchain.pem /data/home/yzhang/CoamRunning/Documents/Server/ServiceConfig/Nginx/Certify/dst_root.pem > rootchain.pem

问题分析

在运行 sudo ./letsencrypt-auto certonly –standalone –email admin@iirii.com -d iirii.com 时频繁出现以下网络连接的错误:

1
2
3
4
5
6
7
8
9
10
11
Fri Feb 19 22:37:18 yzhang@coam:~/RunProject/letsencrypt$ sudo ./letsencrypt-auto certonly --standalone --email admin@iirii.com \
>     -d iirii.com \
>     -d www.iirii.com \
>     -d wp.iirii.com \
>     -d ftp.iirii.com \
>     -d sarah.iirii.com \
>     -d acs.iirii.com \
>     -d acr.iirii.com
Checking for new version...
Upgrading letsencrypt-auto 0.5.0.dev0 to 0.4.0...
Couldn't download https://raw.githubusercontent.com/letsencrypt/letsencrypt/v0.4.0/letsencrypt-auto-source/letsencrypt-auto. <urlopen error [Errno -2] Name or service not known>

需要配合 ShadowSocks 代理翻墙,详细配置参见 Linux/ShadowSocks.md

参考列表

letsencrypt
使用 Let’s Encrypt 开源 SSL 证书
为Nginx手动获取Let’S Encrypt的免费SSL证书
Let’s Encrypt 试用记

Nginx下SSL配置解释
Configuring Let’s Encrypt for nginx with Automatic Renewal

本文标题:Title

文章作者:张亚飞

发布时间:2016年01月10日 - 19时41分

最后更新:2016年05月22日 - 18时05分

原始链接:https://coam.co/2016/01/10/SSL/LetSSL/

许可协议: "署名-非商用-相同方式共享 3.0" 转载请保留原文链接及作者。

文章目录
  1. 1. letsencrypt 证书签发机构
  2. 2. letscrypt 证书签发及使用问题
  3. 3. 以下商运相关
  4. 4. 以下医院相关
  5. 5. To obtain a cert using the “webroot” plugin, which can work with the webroot directory of any webserver software:
  6. 6. 问题分析
    1. 6.0.1. 参考列表