Let’s Encrypt免费SSL证书续签方法以及遇到的问题

avatar 2019年1月23日11:10:06 12 514

随着网站对安全的要求越来越高,很多站长都把网站升级用了ssl证书,在这其中,Let's Encrypt证书是用的比较多的,但是这个证书的特性是有效期是3个月,3个月内要重新续签,如果没有及时续签的话就会显示证书过期等问题。

镜缘轩这个网站用的也是Let's Encrypt的证书,前段时间收到证书即将到期的邮件,由于服务器设置了自动续期就没有当作事,眼看着就要到期了,可是看浏览器里的有效期还是没有改变,所以只好手动更新一下。

手动更新的方法也很简单,首先用软件连接服务器,笔者用的是Xshell,连接服务器后,运行命令:

  1. acme.sh

运行完这个命令后,会出现关于使用这个命令的方法,比如加什么后缀,是什么功能,如图:
Let's Encrypt免费SSL证书续签方法以及遇到的问题     很明显,我们需要的是renew的功能,所以只需在acme.sh的后面加上这个后缀就行了,需要注意的是如果你是更新一个证书,可以使用如下的命令:

  1. acme.sh--renew, -r

如果你选择更新所有的证书,可以使用另外一个命令:

  1. acme.sh --renew-all

运行完命令后,稍等待一会,等等提示renew成功后,即可。

镜缘轩遇到的另一个问题是,renew成功后,浏览器里的证书显示到期日期依然没有改变,查看服务器上的证书日期都是更新过的,后来才意识到是因为使用了cdn的原因,因为CDN里的证书还没有更新。

笔者使用的是又拍云的CDN,于是登陆又拍云的后台,把新的证书导入CDN,浏览器里的证书日期终于正常了。

Let's Encrypt免费SSL证书续签方法以及遇到的问题

补充,另楼下涂红伟 博主说到关闭TLS1.0的连接问题,摸索了一下,也已经解决,谢谢涂红伟 的提醒。具体方法是:

首先,Xshell进入连接服务器,进入oneinstack目录,编辑version.txt,把openssl_version版本号改到1.1.1以上。

然后运行

  1. ~/oneinstack/upgrade.sh

选择升级Nginx

然后修改网站的Nginx配置文件,

  1. ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
  2. # ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
  3.  ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;
  4.  ssl_prefer_server_ciphers on;

注释掉原来的ssl_ciphers,增加新的加密套件,重启nginx,即可

weinxin
我的微信
正品康耐特、依视路、蔡司、罗敦司得镜片4-6折(保证正品,官网可查),微信扫码联系!
中意眼镜工作室
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:12   其中:访客  6   博主  6

    • avatar 纯像SEO 0

      我是纯像SEO,知更鸟主题呀

      • avatar 张波博客 4

        其实有很多免费好用的证书,我

          • avatar 中意眼镜 Admin

            @张波博客 是的,不过习惯用这个了,阿里云申请的也有一年的,眼镜收到了没,老张

          • avatar 青山 4

            没想到你早已添加我的友链,受宠若惊,已加上。

              • avatar 中意眼镜 Admin

                @青山 呵呵,投缘嘛,加的都是几个能聊到一起的

              • avatar SEO学习博客 4

                是的,可以去掉TLS1.0,现在都抛弃它了,弄好之后顺便可以检测下级别

                • avatar 涂红伟 0

                  你的还可以去掉TLS1.0来提升安全性,可以用myssl检测ssl是否最佳部署。