OpenResty 使用 Certbot 生成 SSL 证书

操作系统

Centos8

安装 snap 包管理器

1. 安装epel仓库并更新

sudo dnf install epel-release
sudo dnf upgrade

2. 安装snap

sudo yum install snapd

3. 设置成系统服务

sudo systemctl enable --now snapd.socket

4. 创建链接

sudo ln -s /var/lib/snapd/snap /snap

5. 关闭SSH当前会话

安装 Certbot

注意：安装完snap后必须重新进入SSH，否则后续有报错。

1. 安装snap core并更新

sudo snap install core;
sudo snap refresh core

2. 安装 Certbot

sudo snap install --classic certbot

3. 创建链接

sudo ln -s /snap/bin/certbot /usr/bin/certbot

生成证书

查看帮助

certbot --help nginx

直接让 Certbot 修改 Nginx 配置

sudo certbot --nginx

如果是OpenResty或者指定目录安装的Nginx，需要配置conf文件目录

sudo certbot --nginx --nginx-server-root /usr/local/openresty/nginx/conf

仅生成证书

手动配置

sudo certbot certonly --nginx

配置conf文件，your.domain.com替换为Certbot中输入的网址

server {
    listen 443 ssl;

    ssl_certificate /etc/letsencrypt/live/your.domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your.domain.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/your.domain.com/chain.pem;
}

重启Nginx

nginx -s reload

测试是否自动更新

测试Certbot是否在证书即将过期时进行自动更新，返回success表示成功。

sudo certbot renew --dry-run

备注

对于OpenResty而言，Certbot会提示不是官方支持的Nginx版本，但这不影响SSL认证。

相关网址

https://snapcraft.io/docs/installing-snap-on-centos

https://certbot.eff.org/lets-encrypt/centosrhel8-nginx