Nginx 終于支持自動申請和續(xù)期 Let's Encrypt 免費證書了,確切的說支持了 ACME協議�����。
因為 Let's Encrypt 就是通過ACME協議(包括簽發(fā)��、驗證�����、續(xù)期、吊銷)來管理證書的���。
Nginx 為了支持ACME協議�����,開發(fā)了ngx_http_acme_module新模塊����,基于NGINX-Rust SDK開發(fā)。
那具體如何使用呢?保護包含三個步驟�。
1�����、配置ACME服務器和共享內存
acme_issuer letsencrypt {
uri https://acme-v02.api.letsencrypt.org/directory;
state_path /var/cache/nginx/acme-letsencrypt;
accept_terms_of_service;
}
acme_shared_zone zone=acme_shared:1M;
可以看到 Let's Encrypt ACME協議接口的地址��。
2����、驗證機制
Let's Encrypt為了校驗用戶是否有權管理某個域名��,支持DNS���、HTTP-01等校驗機制。
server {
listen 80;
location / {
#Serve a basic 404 response while listening for challenges
return 404;
}
}
而 Nginx 通過 HTTP-01 支持,很好理解���,因為它本來就是一個Web服務器��,比DNS校驗方便的多了�����。
3、證書簽發(fā)與續(xù)期
因為 Let's Encrypt 證書有效期是90天,Nginx支持自動續(xù)期是它最大的價值。
server {
listen 443 ssl;
server_name .example.com;
acme_certificate letsencrypt;
ssl_certificate $acme_certificate;
ssl_certificate_key $acme_certificate_key;
ssl_certificate_cache max=2;
}
最后說說一些想法,未來 Let's Encrypt 支持的證書有效期會極大縮短,所以自動化更新證書是個非常重要的機制�。
而 Nginx 作為全球最著名的Web服務器�,支持自動續(xù)期證書,可以說是極大的及時雨�����,看來我開源的自動續(xù)期證書的項目(https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au)可以關閉了��。
閱讀原文:點擊這里
該文章在 2025/8/15 16:04:23 編輯過
400 186 1886
