Nginx 終于支持自動(dòng)申請(qǐng)和續(xù)期 Let's Encrypt 免費(fèi)證書了���,確切的說(shuō)支持了 ACME協(xié)議���。
因?yàn)?Let's Encrypt 就是通過(guò)ACME協(xié)議(包括簽發(fā)、驗(yàn)證���、續(xù)期����、吊銷)來(lái)管理證書的。
Nginx 為了支持ACME協(xié)議���,開發(fā)了ngx_http_acme_module新模塊,基于NGINX-Rust SDK開發(fā)�。
那具體如何使用呢?保護(hù)包含三個(gè)步驟��。
1�、配置ACME服務(wù)器和共享內(nèi)存
acme_issuer letsencrypt {
uri https://acme-v02.api.letsencrypt.org/directory;
state_path /var/cache/nginx/acme-letsencrypt;
accept_terms_of_service;
}
acme_shared_zone zone=acme_shared:1M;
可以看到 Let's Encrypt ACME協(xié)議接口的地址。
2�、驗(yàn)證機(jī)制
Let's Encrypt為了校驗(yàn)用戶是否有權(quán)管理某個(gè)域名,支持DNS�、HTTP-01等校驗(yàn)機(jī)制���。
server {
listen 80;
location / {
#Serve a basic 404 response while listening for challenges
return 404;
}
}
而 Nginx 通過(guò) HTTP-01 支持����,很好理解,因?yàn)樗緛?lái)就是一個(gè)Web服務(wù)器����,比DNS校驗(yàn)方便的多了��。
3���、證書簽發(fā)與續(xù)期
因?yàn)?Let's Encrypt 證書有效期是90天,Nginx支持自動(dòng)續(xù)期是它最大的價(jià)值�。
server {
listen 443 ssl;
server_name .example.com;
acme_certificate letsencrypt;
ssl_certificate $acme_certificate;
ssl_certificate_key $acme_certificate_key;
ssl_certificate_cache max=2;
}
最后說(shuō)說(shuō)一些想法�,未來(lái) Let's Encrypt 支持的證書有效期會(huì)極大縮短,所以自動(dòng)化更新證書是個(gè)非常重要的機(jī)制����。
而 Nginx 作為全球最著名的Web服務(wù)器�,支持自動(dòng)續(xù)期證書,可以說(shuō)是極大的及時(shí)雨�,看來(lái)我開源的自動(dòng)續(xù)期證書的項(xiàng)目(https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au)可以關(guān)閉了。
閱讀原文:點(diǎn)擊這里
該文章在 2025/8/15 16:04:23 編輯過(guò)
400 186 1886
