Let’s Encrypt免费SSL证书续签方法以及遇到的问题

随着网站对安全的要求越来越高,很多站长都把网站升级用了ssl证书,在这其中,Let’s Encrypt证书是用的比较多的,但是这个证书的特性是有效期是3个月,3个月内要重新续签,如果没有及时续签的话就会显示证书过期等问题。

镜缘轩这个网站用的也是Let’s Encrypt的证书,前段时间收到证书即将到期的邮件,由于服务器设置了自动续期就没有当作事,眼看着就要到期了,可是看浏览器里的有效期还是没有改变,所以只好手动更新一下。

手动更新的方法也很简单,首先用软件连接服务器,笔者用的是Xshell,连接服务器后,运行命令:

  1. acme.sh

运行完这个命令后,会出现关于使用这个命令的方法,比如加什么后缀,是什么功能,如图:
     很明显,我们需要的是renew的功能,所以只需在acme.sh的后面加上这个后缀就行了,需要注意的是如果你是更新一个证书,可以使用如下的命令:

  1. acme.sh–renew, -r

如果你选择更新所有的证书,可以使用另外一个命令:

  1. acme.sh –renew-all

运行完命令后,稍等待一会,等等提示renew成功后,即可。

镜缘轩遇到的另一个问题是,renew成功后,浏览器里的证书显示到期日期依然没有改变,查看服务器上的证书日期都是更新过的,后来才意识到是因为使用了cdn的原因,因为CDN里的证书还没有更新。

笔者使用的是又拍云的CDN,于是登陆又拍云的后台,把新的证书导入CDN,浏览器里的证书日期终于正常了。

补充,另楼下涂红伟 博主说到关闭TLS1.0的连接问题,摸索了一下,也已经解决,谢谢涂红伟 的提醒。具体方法是:

首先,Xshell进入连接服务器,进入oneinstack目录,编辑version.txt,把openssl_version版本号改到1.1.1以上。

然后运行

  1. ~/oneinstack/upgrade.sh

选择升级Nginx

然后修改网站的Nginx配置文件,

  1. ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
  2. # ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
  3.  ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;
  4.  ssl_prefer_server_ciphers on;

注释掉原来的ssl_ciphers,增加新的加密套件,重启nginx,即可

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!
12 条回复 A 作者 M 管理员
  1. 我是纯像SEO,知更鸟主题呀

    • 是的

  2. 其实有很多免费好用的证书,我

    • 是的,不过习惯用这个了,阿里云申请的也有一年的,眼镜收到了没,老张

  3. 没想到你早已添加我的友链,受宠若惊,已加上。

    • 呵呵,投缘嘛,加的都是几个能聊到一起的

  4. 是的,可以去掉TLS1.0,现在都抛弃它了,弄好之后顺便可以检测下级别

    • 已经取掉了,级别A+ 哈哈
      其实不必太在意这个

    • 哇,回复好快哇

    • 正好在线

  5. 你的还可以去掉TLS1.0来提升安全性,可以用myssl检测ssl是否最佳部署。

    • 好的,感谢建议,这两天有空了就折腾

欢迎您,新朋友,感谢参与互动!欢迎您 {{author}},您在本站有{{commentsCount}}条评论