Let's Encrypt 試用記

早上收到 Let's Encrypt 的郵件，說偶之前申請的已經通過了，於是馬上開始試用。Let's Encrypt 是一個新的數位憑證認證機構，它通過自動化的過程消除建立和安裝證書的複雜性，為網站提供免費的 SSL/TLS 證書。

以下是使用 Let's Encrypt 的過程：

1. 獲取用戶端並執行

   git clone https://github.com/letsencrypt/letsencrypt
   cd letsencrypt
   ./letsencrypt-auto --agree-dev-preview --server 
       https://acme-v01.api.letsencrypt.org/directory auth
   

2. 選擇認證方式

   在安裝一些依賴包後，Let's Encrypt 將彈出 TUI 介面要求選擇認證的方式：手動或獨立。這裡為了省事，選擇獨立認證。

3. 接著輸入 Email 地址

4. 同意許可協定

5. 輸入域名

   在此，輸入 linuxtoy.org 和 www.linuxtoy.org，多個域名使用逗號或空格分隔。

6. 完成

   當看到下列訊息時，說明認證已經成功完成：

   - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/linuxtoy.org/fullchain.pem. Your cert will
   expire on 2016-01-25. To obtain a new version of the certificate in
   the future, simply run Let's Encrypt again.
   

Let's Encrypt 將認證的資訊儲存於 /etc/letsencrypt 目錄。

然後，在 NGINX 的組態檔中將下面兩行設定成 Let's Encrypt 的實際路徑即可：

ssl_certificate /etc/letsencrypt/live/linuxtoy.org/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/linuxtoy.org/privkey.pem;

值得注意的是，目前 Let's Encrypt 的證書有效期為 90 天，之後需要手動續期。另外，在請求證書認證時會有頻率限制。總的來說，證書的認證過程還是非常容易的，而且又是免費，所以對此有需要的朋友不妨一試。

本文永久更新連結地址：http://www.linuxidc.com/Linux/2015-10/124619.htm