广告合作关于我们
首页关于友链米表

搞IT的

搞IT的
一个搞IT的...
实际上https并不是必须的,针对这个我单独吐过槽 http://gaoit.de/a/1 , 但这里也顺便写一下它的部署吧。
(请别忘了将下文的mjj.party替换成你自己的网站域名)

接上一篇的,反代网站建好以后,继续输入命令:
curl https://get.acme.sh | sh
(如果这一步出错那么先apt-get install -y curl)
然后source ~/.bashrc 就装好了acme,我们用它来签发证书

建一个临时的网站目录 mkdir -p /www/mjj.party
编辑我们的反代网站配置文件:
vi /etc/nginx/sites-enabled/mjj.party
进入编辑器后光标移动到access_log off这行,按o,在这行下面粘贴插入以下内容:

location /.well-known {
alias /www/mjj.party/.well-known;
}

然后esc、输入:wq回车(保存退出)

重启nginx使修改生效 service nginx restart

签发证书
acme.sh --issue -d mjj.party -d www.mjj.party -w /www/mjj.party
看到success字样就是成功了
再建个目录 mkdir /www/ssl
安装证书
acme.sh --installcert -d mjj.party -d www.mjj.party --keypath /www/ssl/mjj.party.key --fullchainpath /www/ssl/mjj.party.key.pem --reloadcmd "service nginx reload"

然后 openssl dhparam -out /www/ssl/dhparam.pem 2048
(如果机器配置低,这一步可能执行时间有些久,耐心等候)

再次修改网站配置文件 vi /etc/nginx/sites-enabled/mjj.party
进入编辑器后光标移动到 listen 80; 这行,按o,在下面一行粘贴插入

listen 443;

按esc,光标再移动到最后一个}的上一行按o(就是在server这个大括号里添加内容)
粘贴入以下

ssl on;
ssl_certificate /www/ssl/mjj.party.key.pem;
ssl_certificate_key /www/ssl/mjj.party.key;
ssl_dhparam /www/ssl/dhparam.pem;
#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

如果想hsts强制开启https那么就去掉最后那个注释符#,不过我非常不建议这样做

按esc 输入:wq回车保存退出
service nginx restart
结束

可以顺便检查下crontab里是否已成功添加了定期重签任务:
crontab -l
看到有acme的就对了
标签:标签标签

GMT+8, 2018-1-22 12:35. 生成页面耗时 0.001844 秒, 数据库查询 1 次. 内存占用峰值 0.218212 MB.