117笔记问答在Debian上部署Nginx SSL的过程可以分为以下几个步骤:
1. 安装OpenSSL
首先,确保你的系统上已经安装了OpenSSL。如果没有安装,可以使用以下命令进行安装:
sudo apt-get update sudo apt-get install openssl -y
2. 生成私钥和证书签名请求(CSR)
接下来,生成一个2048位的RSA私钥和一个CSR。私钥和CSR的名称通常与你的域名相同。
openssl genpkey -algorithm rsa -out private.key -aes256 openssl req -new -key private.key -out csr.csr
在生成CSR的过程中,系统会提示你输入一些信息,如国家、省份、城市、组织和姓名等。
3. 生成自签证书
使用私钥和CSR生成自签证书。证书的有效期默认为365天。
openssl x509 -req -days 365 -in csr.csr -signkey private.key -out certificate.crt
4. 验证证书
你可以使用以下命令来验证生成的证书内容:
openssl x509 -in certificate.crt -text -noout
5. 配置Nginx使用SSL证书
将生成的证书和私钥文件放置在Nginx的配置目录中(通常是/etc/nginx)。然后编辑Nginx的配置文件,添加以下内容:
server {
listen 443 ssl;
http2 on;
listen [::]:443 ssl;
server_name example.com;
ssl_certificate /path/to/certificate.crt;
ssl_certificate_key /path/to/private.key;
# 其他Nginx配置...
}
将example.com替换为你的实际域名,并将/path/to/certificate.crt和/path/to/private.key替换为实际的证书和私钥文件的路径。
6. 自动续签SSL证书
为了确保SSL证书在到期前自动续签,可以使用acme.sh脚本。以下是配置步骤:
- 创建必要的目录:
mkdir -p /etc/acme/{config,live,certs}
mkdir -p /var/www/acme/.well-known/acme-challenge
- 修改目录权限:
chown -R username:username /var/www /etc/acme
将username替换为运行acme.sh的用户名。
- 克隆
acme.sh仓库:
git clone https://github.com/acmesh-official/acme.sh.git
或者下载并解压压缩包。
- 安装
acme.sh:
./acme.sh --install -m your@email.com --home /etc/acme --config-home /etc/acme/config --cert-home /etc/acme/certs
将your@email.com替换为你的实际电子邮箱地址。
- 配置
acme.sh自动更新:
/etc/acme/acme.sh --config-home '/etc/acme/config' --upgrade --auto-upgrade
- 添加Nginx配置给
acme.sh:
location /.well-known/acme-challenge/ {
alias /var/www/acme/.well-known/acme-challenge/;
}
- 修改需要添加SSL证书的域名Nginx配置文件:
server {
listen 80;
listen [::]:80;
server_name example.com;
include /etc/acme/acme.conf;
location / {
return 301 https://$server_name$request_uri;
}
}
将example.com替换为你的实际域名。
- 重新加载Nginx配置:
sudo nginx -s reload
- 使用
acme.sh申请SSL证书:
/etc/acme/acme.sh --issue --home /etc/acme --config-home /etc/acme/config --cert-home /etc/acme/certs -d example.com -w /var/www/acme --server letsencrypt
将example.com替换为你的实际域名。
- 查看定时任务是否添加成功:
crontab -e
如果没有相关acme.sh的定时任务,可以手动添加上:
0 1 * * * "/etc/acme/acme.sh" --cron --home "/etc/acme" --config-home "/etc/acme/config" > /dev/null
- 申请成功后,再次修改对应域名的Nginx配置文件,使其使用最新的SSL证书:
ssl_certificate /etc/acme/certs/example.com_ecc/fullchain.cer; ssl_certificate_key /etc/acme/certs/example.com_ecc/example.com.key;
- 添加重新加载Nginx配置文件的定时任务:
0 1 * * * sudo nginx -s reload
以上就是在Debian系统上部署Nginx SSL的基本策略。通过这些步骤,你可以为你的网站启用HTTPS,并确保SSL证书在到期前自动续签。