在Debian系统上使用Nginx和Let’s Encrypt实现SSL证书的自动续期,可以按照以下步骤进行操作:
Certbot是一个用于获取和续期Let’s Encrypt证书的工具。你可以使用以下命令安装它:
计算
安全
数据库
网络和加速
企业服务
sudo apt update
sudo apt install certbot python3-certbot-nginx
使用Certbot获取SSL证书。假设你的域名是example.com,你可以运行以下命令:
sudo certbot --nginx -d example.com -d www.example.com
Certbot会自动配置Nginx并重启服务以应用新的SSL证书。
Certbot会创建一个定时任务(cron job)来自动续期证书。你可以检查这个定时任务是否已经设置:
sudo crontab -l | grep certbot
你应该会看到类似以下的条目:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot renew --deploy-hook "systemctl reload nginx"
这个定时任务每12小时检查一次证书是否需要续期,并在需要时自动续期并重新加载Nginx服务。
你可以手动测试续期过程以确保一切正常:
sudo certbot renew --dry-run
如果没有错误信息,说明续期过程应该没有问题。
Certbot会在续期成功后发送一封电子邮件通知你。你可以在Certbot的配置文件中设置电子邮件地址:
sudo nano /etc/letsencrypt/cli.ini
添加或修改以下行:
email = your-email@example.com
如果续期失败,Certbot会发送一封通知邮件。你需要检查日志文件以确定失败原因:
sudo tail -f /var/log/letsencrypt/renewal.log
常见的失败原因包括DNS验证失败、Nginx配置错误等。
如果你更喜欢使用Systemd服务来管理Certbot,可以创建一个自定义的Systemd服务文件:
sudo nano /etc/systemd/system/certbot.service
添加以下内容:
[Unit]
Description=Certbot renewal and reload
After=network.target
[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --deploy-hook "systemctl reload nginx"
ExecReload=/bin/kill -HUP $MAINPID
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target
然后启用并启动这个服务:
sudo systemctl enable certbot.service
sudo systemctl start certbot.service
通过以上步骤,你应该能够在Debian系统上使用Nginx和Let’s Encrypt实现SSL证书的自动续期。
亿速云提供多种品牌、不同类型SSL证书签发服务,包含:域名型、企业型、企业型专业版、增强型以及增强型专业版,单域名SSL证书300元/年起。点击查看>>
推荐阅读:Debian域名如何实现自动续费
