介绍

Let's Encrypt 是一个免费的、自动化的证书颁发机构，它提供了免费的SSL证书。你可以使用 Certbot 工具来自动化地申请、安装和更新 Let's Encrypt 证书。通过设置自动化脚本，你可以定期检查证书的到期日期，并在证书即将过期时自动更新。

原理

1. 证书请求生成：当您运行 Certbot 并指定要申请证书的域名时，Certbot 会生成一个证书请求 (CSR，Certificate Signing Request)。CSR 包含您的公钥和一些基本信息，如域名等。
2. 与 Let's Encrypt 通信：Certbot 与 Let's Encrypt 通信，将 CSR 发送给 Let's Encrypt 证书颁发机构。Let's Encrypt 是一个提供免费 SSL/TLS 证书的服务，由非营利组织 Internet Security Research Group (ISRG) 维护。
3. 域名验证：Let's Encrypt 将对您申请的域名进行验证，以确保您对该域名拥有控制权。这通常可以通过 HTTP 或 DNS 验证来完成。在 HTTP 验证中，您需要在您的网站上放置特定的文件以证明您对域名的控制权；在 DNS 验证中，您需要添加特定的 DNS 记录。
4. 证书签发：一旦 Let's Encrypt 验证了您的域名控制权，它将签发一个包含您的域名信息的证书。
5. 证书下载和安装：Let's Encrypt 签发证书后，Certbot 将下载证书并将其安装到您的 Web 服务器配置中。它会自动更新您的 SSL/TLS 配置，以便您的网站可以使用新证书进行加密通信。
6. 证书更新：Let's Encrypt 证书的有效期为 90 天，因此您需要定期更新证书。Certbot 提供了自动续订功能，可以帮助您在证书即将过期时自动更新证书。

命令

申请证书：
certbot certonly：仅申请证书，不安装或配置Web服务器。
certbot --webroot：使用Web根目录验证域名。
certbot --standalone：使用独立插件验证域名。
安装和配置证书：
certbot --apache：与Apache Web服务器一起使用Certbot，自动配置Apache服务器以使用新证书。
certbot --nginx：与Nginx Web服务器一起使用Certbot，自动配置Nginx服务器以使用新证书。
续订证书：
certbot renew：手动续订所有即将到期的证书。
certbot renew --dry-run：测试续订证书而不实际执行操作。
管理证书：
certbot delete：删除证书。
certbot certificates：列出当前系统上安装的证书信息。
其他命令：
certbot plugins：列出可用的Certbot插件。
certbot --help：获取帮助信息和命令选项的详细说明。
自动化：
设置定时任务：使用cron或系统任务调度程序自动运行certbot renew命令来定期检查证书并更新它们。

实践

# 安装
sudo apt-get update
sudo apt-get install certbot

# 获取证书
sudo certbot certonly --nginx -d example.com
# 默认证书路径 /etc/letsencrypt/live/example.com/
# cert.pem 服务器证书
# chain.pem 中间证书
# fullchain.pem 全链路证书(使用次证书配置nginx)
# privkey.pem 私有证书(使用次证书配置nginx)

# 定时任务
0 0 * * 0 certbot renew --quiet --deploy-hook "nginx -s reload"

# 查看证书信息
certbot certificates