永久免费SSL安全证书Letsencrypt安装使用教程

一直以来SSL安全证书（简而言之就是支持https://）就是网站特别是商务网站的必备，大家在选购VPS的时候也务必避开那些没有SSL安全证书的商家。LetsEncrypt在出现之初就引起了不少关注，这种宣称永久免费的SSL证书，对于少则2美元/年，多则上百美元的商业产品算是不小的冲击，虽然前面也有StartSSL等免费的先例，但是LetsEncrypt因为有Mozilla、Cisco的参与而让人产生了不少的好感。最近，Letsencrypt终于现身了公测版（不用再去申请内测资格了），微魔今天顺便和大家分享安装和使用的教程。

Letsencrypt安装、使用教程

安装前，系统需要安装Python（2.7版本以上）和Git，相关安装教程请自行搜索，大多数情况下使用系统自带的yum或者apt-get命令即可，Redhat或CentOS 6可能需要配置EPEL软件源

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --standalone --email admin@thing.com -d thing.com -d www.thing.com

把上面的邮箱和域名换成自己的

如果你看到如下信息，表明一切正常

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/xxx.com/fullchain.pem. Your cert will
   expire on 2016-03-05. To obtain a new version of the certificate in
   the future, simply run Let's Encrypt again.
 - If like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

注意：上面的命令中，域名的dns需要指向你的VPS，另外Email最好不要用国内的域名邮箱，实测DNSPod+网易企业邮箱会导致The server experienced an internal error :: Error creating new registration错误，有网友反馈使用国内DNS的域名都会有这样的错误。

运行完最后一个命令会出现蓝色命令框，要求同意协议（仅首次会出现）；结束后会在“/etc/letsencrypt/live/域名/”目录下生成如下文件，参照自己的服务器软件选择对应文件加载，如Apache就选1-3；Nginx就选1+4：

• 1. privkey.pem：安全证书的key文件（也就是Apache中的SSLCertificateKeyFile和Nginx的ssl_certificate_key）；
• 2. cert.pem：Apache的服务器端证书（Apache的SSLCertificateFile）；
• 3. chain.pem：Apache的根证书和中继证书（Apache的SSLCertificateChainFile）；
• 4.  fullchain.pem：所有证书（Nginx所需要的ssl_certificate）

LetsEncrypt虽然是永久免费，但是目前要每3个月更新一下，可以配合Crontab命令（教程）进行相关操作，执行的命令同样是“./letsencrypt-auto certonly –standalone –email admin@thing.com -d thing.com -d www.thing.com”

关于证书的使用，下面文章也许你会感兴趣：
为Litespeed添加SSL安全证书（HTTPS安全链接）支持