How To Build nginx for Let’s Encrypt on Raspberry Pi Script（raspberry pi 3B+） |

John

状态: 楼主
回帖总数: 6311

发表于: 2 年前

How To Build nginx for Let’s Encrypt on Raspberry Pi Script（raspberry pi 3B+）

browser → your own domain name →  Raspberry Pi server ipv4 address → nginx on  Raspberry Pi server → Home Assistant Server:8123

https://eff-certbot.readthedocs.io/en/stable/using.html#manual

https://eff-certbot.readthedocs.io/en/stable/using.html#renewing-certificates

CA的证书提供商有许多，有收费的有免费的，而Let’s Encrypt就是其中之一的免费提供商。

先介绍一些Certbot相关概念。

3.1 Authenticators和Installers
Certbot支持两种类型的plugin，一种是用来获取证书的，称为Authenticators；另外一种是用来安装证书的，称为Installers。有的plugin支持一种，有的两种都支持，如nginx。

安装证书：自动修改配置文件，如修改nginx的某个.conf文件

Authenticators plugin使用certonly命令来获取证书，而Installers plugin使用install命令来安装证书。

Certbot常用的plugin

Webroot：本地有运行webserver并且有能力修改其配置，就可以用该种方式（创建隐藏文件.well-known），获取证书时无需暂停webserver的运行。
Standalone：certbot certonly plugin
Nginx：certbot --nginx plugin。

John

状态: 楼主
回帖总数: 6311

私人讯息

发表于: 2 年前

#3795 引用

certbot是一个免费的HTTPS证书提供客户端工具，为letsencrypt所有

2018年
Let's Encrypt自2018年开始支持申请泛域名证书

Certbot使用流程
Certbot的使用包含以下几个部分：

安装Certbot
域名所有权验证
生成证书
安装证书
续期证书

John

状态: 楼主
回帖总数: 6311

私人讯息

发表于: 2 年前

#3796 引用

域名验证

域名验证以此证明你对域名的权限

要从Let's Encript获取某个域名的证书，需要证明那你对该域名拥有控制权，对于该证明你可以使用某个使用ACME协议的软件来实现，而Certbot就是官方出的一个ACME客户端

Webroot：本地有运行webserver并且有能力修改其配置，就可以用该种方式（创建隐藏文件.well-known），获取证书时无需暂停webserver的运行。
Standalone：服务器未运行webserver使用该方式，保持80或443端口开放。(本文选用)
Nginx：自动获取和安装证书（自动修改配置文件）。

申请泛解析证书需要使用 DNS 验证
申请泛域名证书需要升级certbot到0.22.0及以上

John

状态: 楼主
回帖总数: 6311

私人讯息

发表于: 2 年前

#3797 引用

step 1.安装Certbot

John

状态: 楼主
回帖总数: 6311

私人讯息

发表于: 2 年前

#3798 引用

step 2.域名所有权验证

John

状态: 楼主
回帖总数: 6311

私人讯息

发表于: 1 年前

#20997 引用

step 3.

John

状态: 楼主
回帖总数: 6311

私人讯息

发表于: 1 年前

#20998 引用

step 4.安装证书


server {
    listen [::]:80;

    root /var/www/youdomain;
    index index.html index.htm;

    server_name www.yourdomain.com;

    charset utf-8;
    
    #.................

    listen 443 ssl; 
ssl_certificate /etc/letsencrypt/live/www.yourdomain.com/fullchain.pem; 
ssl_certificate_key /etc/letsencrypt/live/www.yourdomain.com/privkey.pem; 

}

John

状态: 楼主
回帖总数: 6311

私人讯息

发表于: 1 年前

#20999 引用

John

状态: 楼主
回帖总数: 6311

私人讯息

发表于: 1 年前

#21000 引用

renew


 certbot certificates

 service nginx stop


 certbot renew 

 certbot certificates

 service  nginx start

Note:手动续期需要注意
certbot的证书有效期为90天，手动续期。

1.80端口没有被占用，因为更新证书需要用到80端口。

2.在到期前30天之内才能续期，否则certbot会判断没有必要进行续期。

--force-renewal:强制更新证书，无视30天之内限制

https://blog.csdn.net/qq_42760638/article/details/117962788

John

状态: 楼主
回帖总数: 6311

私人讯息

发表于: 2 个月前

#46531 引用

Install nginx 1.18.0
Install Certbot 2.11.0

ufw allow http
ufw allow https

#Use Certbot Standalone Mode to Retrieve Let's Encrypt SSL Certificates on Ubuntu 22.04
certbot certonly --standalone --register-unsafely-without-email

Install frp 0.45

sudo ufw allow port