使用 Certbot 在 Nginx 上安装免费 SSL 证书

# 1. 简介

本章将介绍 SSL 证书的作用和在网站上的重要性，以及 Certbot 是什么以及如何使用它。

## 1.1 SSL 证书的作用和重要性

在互联网上，SSL（Secure Sockets Layer）证书是一种加密协议，用于保护网站与用户之间的通信安全。SSL 证书通过加密数据传输，防止黑客窃听和窃取敏感信息。它们还用于验证网站的身份，以确保用户连接的是合法的网站，而不是恶意的伪装网站。

使用 SSL 证书可以提供以下优势和重要性：

- **数据加密**：SSL 证书通过加密用户和服务器之间的通信，确保敏感信息（如密码、信用卡号等）在传输过程中不被窃取或篡改。
- **身份验证**：SSL 证书包含了网站的公钥和相关信息，经过第三方机构的认证，用于验证网站的真实身份。用户可以通过 SSL 证书确认他们正在连接到的是可信的网站，而不是冒充网站。
- **信誉提升**：拥有有效的 SSL 证书可提高网站的信誉度和用户对网站的信任度。现在许多用户对于没有 SSL 证书的网站持有怀疑态度，并认为它们缺乏安全性。

## 1.2 Certbot 是什么以及如何使用它

Certbot 是一个由 EFF（Electronic Frontier Foundation）开发和维护的免费、开源的工具，用于自动化申请、颁发和安装 SSL 证书。它支持主流的操作系统（如 Linux、Windows 和 macOS）以及主流的 Web 服务器（如 Apache 和 Nginx）。Certbot 能够与证书颁发机构（CA）进行通信，并生成有效的 SSL 证书，使您的网站能够通过 HTTPS 进行访问。

Certbot 的优点和用法如下：

- **免费**：Certbot 提供免费的 SSL 证书，而且与 Let's Encrypt（一个免费的证书颁发机构）集成，让您在无需支付费用的情况下获取有效的 SSL 证书。
- **自动化**：Certbot 提供了命令行工具和 API，可自动化申请、颁发和更新 SSL 证书。它支持多种插件和验证方法，可以根据服务器和配置的不同自动选择最合适的方式。
- **可靠**：Certbot 是一个经过广泛使用和测试的工具，被许多人和组织信任和采用。它能够自动续期证书，确保您的网站始终保持安全。

接下来，我们将详细介绍使用 Certbot 在 Nginx 上安装 SSL 证书的准备工作和步骤。

# 2. 准备工作

在开始申请 SSL 证书之前，需要确保服务器上已经安装了 Nginx 和 Certbot，并且确认域名已经成功解析到服务器。

### 安装 Nginx

首先，需要在服务器上安装 Nginx。Nginx 是一个高性能的 Web 服务器，可以作为 SSL 证书的前端服务器。

以下是在 Ubuntu 系统上安装 Nginx 的步骤：

1. 更新系统软件包列表：

   $ sudo apt update

2. 安装 Nginx：

   $ sudo apt install nginx

3. 启动 Nginx 服务：

   $ sudo systemctl start nginx

4. 查看 Nginx 服务状态，确保它正常运行：

   $ sudo systemctl status nginx

如果状态显示为 active (running)，则表示 Nginx 已成功安装。

### 安装 Certbot

Certbot 是一个由 Electronic Frontier Foundation (EFF) 维护的免费、开源的 SSL 证书颁发工具。它可以与 Nginx 配合使用，帮助我们自动申请和安装 SSL 证书。

以下是在 Ubuntu 系统上安装 Certbot 的步骤：

1. 添加 Certbot 的软件源：

   $ sudo apt update
   $ sudo apt install software-properties-common
   $ sudo add-apt-repository universe

2. 安装 Certbot：

   $ sudo apt install certbot python3-certbot-nginx

3. 安装完成后，使用以下命令验证 Certbot 是否成功安装：

   $ certbot --version

如果可以正确显示 Certbot 的版本信息，说明安装成功。

### 确认域名解析

在申请 SSL 证书之前，需要确保域名已经正确解析到服务器的 IP 地址。

可以使用 `ping` 命令来验证域名是否已经解析成功。例如，假设要验证的域名为 `example.com`：

$ ping example.com

如果能够正确解析出服务器的 IP 地址，则表示域名解析配置正确。

在准备工作完成后，就可以开始申请 SSL 证书了。

# 3. 申请 SSL 证书
在这一部分，我们将使用 Certbot 的命令行工具生成 SSL 证书，并介绍 Certbot 的不同插件和验证方法。

#### 使用 Certbot 的命令行工具生成 SSL 证书
首先，使用以下命令生成 SSL 证书。确保将 `example.com` 替换为你的域名。

sudo certbot --nginx -d example.com -d www.example.com

执行命令后，Certbot 将会引导你完成 SSL 证书的生成过程。你需要提供有效的电子邮件地址以便在证书过期时接收通知。

Certbot 还会询问你是否愿意分享你的邮箱地址以提供改进 Certbot 和其他 Let's Encrypt 项目的运作。你可以根据自己的意愿来选择。

#### 介绍 Certbot 的不同插件和验证方法
Certbot 提供了多种插件和验证方法来生成 SSL 证书，每种方法都有其适用的场景。

- **插件：**
- `--apache`：用于 Apache 服务器。
- `--nginx`：用于 Nginx 服务器。
- `--standalone`：独立模式，在此模式下 Certbot 会停止正在运行的 Web 服务器并使用内置的临时 Web 服务器来完成验证。
- `--webroot`：通过 Web 根目录验证域名所有权。
- **验证方法：**
- `http-01`：通过在指定的 webroot 目录下放置临时文件来验证域名所有权。
- `dns-01`：通过操作域名的 DNS 记录来验证域名所有权。

根据你的服务器架构和域名管理方式，选择合适的插件和验证方法来生成 SSL 证书。

# 4. 配置 Nginx 以使用 SSL

要配置 Nginx 使用 SSL，我们需要在 Nginx 的配置文件中添加一些配置。以下是具体步骤：

1. 打开 Nginx 配置文件，通常位于 `/etc/nginx/nginx.conf` 或 `/etc/nginx/sites-available/default`。
2. 在文件中找到需要启用 SSL 的域名对应的 server 部分。一般来说，该部分会包含类似以下的内容：

   server {
      listen 80;
      server_name example.com;
      ...
   }

如果还没有 server 部分，可以新增一个。

3. 配置 server 部分启用 SSL。添加以下内容来配置 SSL 相关的参数和路径：

   server {
      ...
      listen 443 ssl;
      ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
      ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
      ...
   }

这里的 `/etc/letsencrypt/live/example.com/fullchain.pem` 和 `/etc/letsencrypt/live/example.com/privkey.pem` 是 SSL 证书的路径，根据实际配置进行修改。

4. 可选：配置 HTTP 请求自动重定向到 HTTPS。如果希望将所有 HTTP 请求自动重定向到 HTTPS，可以在 server 部分添加以下代码：

   server {
      ...
      if ($scheme != "https") {
         return 301 https://$host$request_uri;
      }
      ...
   }

这样一来，所有访问该网站的 HTTP 请求都会被重定向到 HTTPS。

5. 保存配置文件并退出编辑器。

6. 重启 Nginx 以使配置生效。可以使用以下命令来重启 Nginx：

   sudo systemctl restart nginx

现在，Nginx 已经配置完成以使用 SSL。可以通过访问网站并查看浏览器地址栏中是否显示 HTTPS 来验证 SSL 配置是否成功。

# 5. 自动续期 SSL 证书

在安装了 SSL 证书之后，我们需要确保证书在到期之前能够及时续期。Certbot 提供了一个方便的方法来自动续期 SSL 证书。以下是设置 Certbot 的定时任务来自动续期证书的步骤：

### 步骤 1：创建脚本文件

首先，我们需要创建一个脚本文件，用于执行 Certbot 命令来续期证书。在服务器上创建一个名为 `renew_ssl_cert.sh` 的文件，并添加以下内容：

#!/bin/bash

certbot renew --quiet

这个脚本文件会执行 Certbot 的 renew 命令来续期证书，并使用 `--quiet` 参数来避免输出冗长的日志信息。

### 步骤 2：设置定时任务

接下来，我们需要设置一个定时任务，定期执行上述脚本文件。我们可以使用 Linux 中的 cron 来实现。

运行以下命令来编辑定时任务列表：

crontab -e

在打开的编辑器中，添加以下内容：

0 0 * * * /path/to/renew_ssl_cert.sh

这个定时任务的含义是在每天的午夜（0 点）执行 `/path/to/renew_ssl_cert.sh` 脚本。

保存并关闭编辑器。

### 证书续期的原理和过程
Certbot 通过与证书签发机构通信来验证域名的所有权并续期证书。在续期过程中，Certbot 会发送一个具有挑战性质的请求到指定的域名，以验证域名的所有权。如果验证成功，Certbot 就会使用相同的私钥生成新的证书文件，并替换旧的证书文件。

值得注意的是，自动续期仅适用于使用 Certbot 生成的证书，并且在续期过程中需要确保服务器能够访问外部网络进行域名验证。

现在，我们已经设置了自动续期任务，SSL 证书会在到期前自动更新，让我们的网站持续安全可信。

# 6. 测试 SSL 证书

在安装完 SSL 证书后，我们需要进行一些测试来确保证书已正确安装。本节将介绍如何使用浏览器验证 SSL 证书的正确安装，并提供一些常见的 SSL 证书问题和解决方法。

### 6.1 使用浏览器验证 SSL 证书

1. 打开任意支持浏览器，如 Google Chrome、Mozilla Firefox 或 Microsoft Edge。
2. 在地址栏中输入你的网站域名，例如 `https://www.example.com`，然后按下 Enter 键。
3. 载入网页后，浏览器会显示网站的安全锁图标，通常位于地址栏的左侧。点击这个图标，浏览器会显示关于 SSL 证书的详细信息。
4. 确认证书的颁发机构（CA）是你所选择的证书颁发机构，并确保证书的有效期没有过期。
5. 如果浏览器显示证书无效或不可信任的消息，可能是因为证书配置有问题或域名未正确解析到服务器。请参考下面的常见问题解决方法。

### 6.2 常见的 SSL 证书问题和解决方法

1. 证书无效
- 问题：浏览器显示证书无效的消息。
- 解决方法：检查证书配置是否正确，包括域名、私钥和证书链的路径是否设置正确。确保证书颁发机构（CA）的根证书可信任。

2. 私钥不匹配
- 问题：浏览器显示私钥不匹配的消息。
- 解决方法：确保私钥与证书匹配。可以通过以下命令验证私钥和证书是否匹配：

   openssl x509 -noout -modulus -in certificate.crt | openssl md5
   openssl rsa -noout -modulus -in private.key | openssl md5

如果输出的结果不一致，则需要重新生成证书。

3. 证书过期
- 问题：浏览器显示证书已过期的消息。
- 解决方法：证书过期后需要重新生成和安装新的证书。可以设置 Certbot 的定时任务，自动续期证书，避免证书过期问题。

请根据具体情况检查和排除以上问题，确保 SSL 证书正确安装并能够正常使用。

在这一章中，我们了解了如何使用浏览器验证 SSL 证书以及一些常见的 SSL 证书问题和解决方法。通过执行这些测试并解决问题，可以确保你的网站的 SSL 证书已正确安装并能够提供安全的 HTTPS 连接。