Let’s Encrypt 项目是由互联网安全研究小组ISRG，Internet Security Research Group主导并开发的一个新型数字证书认证机构CA，Certificate Authority。该项目旨在开发一个自由且开放的自动化 CA 套件，并向公众提供相关的证书免费签发服务以降低安全通讯的财务、技术和教育成本。在过去的一年中，互联网安全研究小组拟定了 ACME 协议草案，并首次实现了使用该协议的应用套件：服务端 Boulder 和客户端 letsencrypt。目前LE的证书已经获得了所有浏览器的信任了，在浏览器地址栏都会显示一个绿色可信任标志，证书90天有效期我们安装后需要定时任务每月续签一次证书就好了。目前网络上大部分的申请教程都是基于Linux的，我们这篇就是讲述如何在windows服务器申请LE证书并安装到Nginx上的，如果想在windows服务器中安装LE的证书我们先需要利用：ACMESharp：/ebekker/ACMESharpACMESharp安装方式有两种：如果你的服务器PowerShell版本是5.0以上，以管理员权限运行打开PowerShell执行：PS& Install-Module -Name ACMESharp来安装ACMESharp，安装过程需要看网络情况，服务器有条件的用vpn安装，没条件的多尝试几次。 2. 如果你的服务器PowerShell版本是3.0 or 4.0的则麻烦些，先需要在powershell上安装chocolatey命令行包管理器，然后利用chocolatey安装。 在powershell中执行：PS& iex ((new-object net.webclient).DownloadString('https://chocolatey.org/install.ps1'))来安装chocolatey命令行包管理器，然后执行：PS& choco install acmesharp-posh-allOK，ACMESharp安装完毕我们来申请LE证书吧：管理员身份打开PowerShell第一步：导入ACMESharp模块PS& Import-Module ACMESharp第二步：初始化ACMEVault来保存和管理证书信息PS& Initialize-ACMEVault第三步：在LE填写注册信息，接受注册协议PS& New-ACMERegistration -Contacts mailto:somebody@example.org -AcceptTos第四步：创建一个你要申请域名身份PS& New-ACMEIdentifier -Dns myserver.example.com -Alias dns1第五步：认证域名所有权如果是IIS web服务器执行：PS& Complete-ACMEChallenge dns1 -ChallengeType http-01 -Handler iis -HandlerParameters @{ WebSiteRef = 'Default Web Site' }如果是其它web服务器，比如nginx需要自己配置的执行：PS& Complete-ACMEChallenge dns1 -ChallengeType http-01 -Handler manual== Manual Challenge Handler - HTTP ==
* Handle Time:
[1/12/2016 1:16:34 PM]
* Challenge Token:
[2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0]To complete this Challenge please create a new fileunder the server that is responding to the hostnameand path given with the following characteristics:
* HTTP URL:
[/.well-known/acme-challenge/2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0]
* File Path:
[.well-known/acme-challenge/2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0]
* File Content: [2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0.H3URk7qFUvhyYzqJySfc9eM25RTDN7bN4pwil37Rgms]
* MIME Type:
[text/plain]------------------------------------执行完毕之后看返回结果LE的服务器在执行下一步时会访问你的这个地址：/.well-known/acme-challenge/2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0返回的文本内容是：2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0.H3URk7qFUvhyYzqJySfc9eM25RTDN7bN4pwil37Rgms.well-known文件夹在windows下可能不能直接创建，需要在命令行下创建。如果准备好了，我们继续下一步。第六步：提交认证PS& Submit-ACMEChallenge dns1 -ChallengeType http-01提交之后我们接下来就需要等待LE服务器来验证了，我们可以通过命令：PS& Update-ACMEIdentifier dns1...Status
: valid...来检查验证状态： pedding 正在等待验证 valid 验证通过 invalid 验证失败，如果验证失败需要重新申请一次，也就是我们的第四步开始重新做一次，当然alias名称需要更换，因为已经存在记录了。如果返回valid表示验证成功后我们继续下一步。第七步：创建证书申请PS& New-ACMECertificate dns1 -Generate -Alias cert1PS& Submit-ACMECertificate cert1我们通过以下来检查证书的状态：PS& Update-ACMECertificate cert1Id
: 9182eb22-cd57-468e-946e-e0b0d8843906Alias
: cert2Label
:IdentifierRef
: 198488a7-c778-488c-978b-606a0181deb9KeyPemFile
: 9182eb22-cd57-468e-946e-e0b0d8843906-key.pemCsrPemFile
: 9182eb22-cd57-468e-946e-e0b0d8843906-csr.pemGenerateDetailsFile : 9182eb22-cd57-468e-946e-e0b0d8843906-gen.jsonCertificateRequest
: ACMESharp.CertificateRequestCrtPemFile
: 9182eb22-cd57-468e-946e-e0b0d8843906-crt.pemCrtDerFile
: 9182eb22-cd57-468e-946e-e0b0d8843906-crt.derIssuerSerialNumber
:SerialNumber
: 00FAFC7F409C770B76EB9BA94AThumbprint
: 9A59B855EA79B3E9DE1C51B3C0CE8Signature
: 9A59B855EA79B3E9DE1C51B3C0CE8SignatureAlgorithm
: sha256RSA如果结果像以上情况则表示申请完毕，我们来下载证书文件吧。第八步：下载证书文件下载私钥：
PS& Get-ACMECertificate cert1 -ExportKeyPEM "path/to/cert1.key.pem"
下载LE证书：
PS& Get-ACMECertificate cert1 -ExportCertificatePEM "path/to/cert1.crt.pem" -ExportCertificateDER "path/to/cert1.crt"
下载CA中间证书：
PS& Get-ACMECertificate cert1 -ExportIssuerPEM "path/to/cert1-issuer.crt.pem" -ExportIssuerDER "path/to/cert1-issuer.crt"
下载IIS用的PFX文件：
PS& Get-ACMECertificate cert1 -ExportPkcs12 "path/to/cert1.pfx" PS& Get-ACMECertificate cert1 -ExportPkcs12 "path/to/cert1.pfx" -CertificatePassword 'g1Bb3Ri$h'
如果是nginx的话只需要利用到上面三个证书文件，这里有一个特殊的地方，在nginx中ssl证书是在server中加入ssl信息：server {
listen 443;
ssl_certificate D://full.
ssl_certificate_key D://key.}其中full.pem是由LE证书文件和CA中间证书合并的来的，把CA中间证书内容添加到LE证书中合并为一个full.pem文件，作为公钥，另一个就是私钥key.pem。 配置好之后启动nginx直接在浏览器加上https访问你的域名吧！注意：在https站点中所有的外部资源都需要通过https访问，否则会抱安全错误（图片、视频等资源可以通过http访问但是控制台会出现警告）
最新教程周点击榜
微信扫一扫let’s encrypt | TechNews 科技新报SSL For Free 免费 SSL 凭证申请
Let’s Encrypt简单教学
如果你有留意互联网趋势变化，2015年有个名为 Let&s Encrypt 的数位凭证认证机构（CA）推出免费 SSL/TLS &凭证服务，也在年底正式对外开放。这是什么呢？简单来说，以往想为你的网站加入 SSL 加密协议（HTTPS，也就是网址列上的绿色锁头图示），必须支付一笔费用来申请凭证，但有了 Let&s Encrypt 后将能免费申请凭证，且这一过程非常简单、自动化。
看过本文的人还看过
最新图文推荐
最新专栏文章
大家感兴趣的内容
网友热评的文章在 Nginx 上使用 Let’s Encrypt 加密(HTTPS)你的网站[简明教程]
Loading...
是一个将于2015年末推出的数字证书认证机构，将通过旨在消除当前手动创建和安装证书的复杂过程的自动化流程，为安全网站提供免费的SSL/TLS证书。
Let’s Encrypt 是由互联网安全研究小组（ISRG，一个公益组织）提供的服务。主要赞助商包括电子前哨基金会，Mozilla基金会，Akamai以及思科。日，ISRG与Linux基金会宣布合作。
那么，现在使用 Let’s Encrypt 则是一个非常经济实惠又安全的选择，于是青小蛙参考
这篇文章，有了这篇教程。
必备条件：
有一台 VPS，推荐
有一个域名(可以在 )；
想加密自己的网站
实现结果：
用户通过 TLS/SSL 加密访问你的网站，而后台实现自动续签 Let’s Encrypt 证书。
教程基于 Ubuntu 14.04 系统，不够其他 Linux 版本都是类似的，用你熟悉的系统即可。
第 1 步：安装 Let’s Encrypt 客户端
装前准备，更新系统和安装 git & bc：
apt-get update
apt-get -y install git bc
克隆 Let’s Encrypt 到
/opt/letsencrypt:
git clone /letsencrypt/letsencrypt /opt/letsencrypt
第 2 步：获取证书
首先关闭 Nginx：
service nginx stop
并且检查一下 80 端口没有被占用：
netstat -na | grep ‘:80.*LISTEN’
运行 Let’s Encrypt:
cd /opt/letsencrypt
./letsencrypt-auto certonly -a webroot –webroot-path=/usr/share/nginx/html -d
注意：Let’s Encrypt 需要超级用户权限，如果你没有使用 sudo 命令，可能会让你输入密码。
之后会出现图形界面输入邮箱、条款、域名等信息:
支持多域名，只需要在第三张截图里用空格或者英文逗号分隔就好了。
目前 Let’s Encrypt 没有 EV 证书与 泛域名证书的计划。
IMPORTANT NOTES:
If you lose your account credentials, you can recover through e-mails sent to
Congratulations! Your certificate and chain have been saved at /etc/letsencrypt//fullchain.pem. Your cert will expire on . To obtain a new version of the certificate in the future, simply run Let’s Encrypt again.
Your account credentials have been saved in your Let’s Encrypt configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Let’s Encrypt so making regular backups of this folder is ideal.
If like Let’s Encrypt, please consider supporting our work by:
Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
看到这一段，就正常证书已经签发成功，位于 /etc/letsencrypt，注意备份。
如果使用国内 VPS，此处可能会由于 DNS 问题出错，可以尝试更换 VPS 的 DNS 为第三方，比如 8.8.8.8。
每一个域名都会自动生成四个文件，位于 /etc/letsencrypt/archive/domain 目录下：
cert.pem: 域名证书
chain.pem: The Let’s Encrypt 证书
fullchain.pem: 上面两者合体
privkey.pem: 证书密钥
第 3 步：配置 Nginx
有了域名证书，就开始配置 Nginx 了，这部分比较略。
打开对应网站的配置文件，一般在 /etc/nginx/sites-available/default 或者 /usr/local/nginx/conf/ 中，试你自己的情况。
listen 443
server_name ;
ssl_certificate /etc/letsencrypt/live//fullchain.
ssl_certificate_key /etc/letsencrypt/live//privkey.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_
ssl_ciphers ‘EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH’;
注意修改红色的部分为你的域名
如果你想开启全站 https，需要将 http 转向到 https，再添加一个 server 就好了：
listen 80;
server_name appinn.
return 301 https://$host$request_
注意以上配置文件需要根据实际情况修改。
保存，重启 Nginx
service nginx restart
此时，打开你的域名比如 https:// 就能看到绿色的地址栏了。
第 4 步：自动续签证书
Let’s Encrypt 证书只有 90 天的有效期，这和之前按年使用的商业证书有些区别，所以我们还需要设置自动续签，好让证书一直有效。
安装 Webroot 插件
这是一个可以不用停止 Web 服务就能让 Let’s Encrypt 验证域名的插件，再次打开 Nginx 配置文件，在 ssl 下面添加：
location ~ /.well-known {
使用命令行续签证书
/opt/letsencrypt/letsencrypt-auto renew
创建定时任务：
crontab -e
添加下面一行，让每周一早上 2 点 30 分运行一次，并记录到日志文件中。
30 2 * * 1 /opt/letsencrypt/letsencrypt-auto renew && /var/log/le-renewal.log
至此，在 Nginx 上使用 Let’s Encrypt 的配置与续签全部完成，今后就完全不需要打理这一部分了，HTTPS 将默默工作。目前善用佳软 已经在使用 Let’s Encrypt，可以围观一下：
小众软件还有一枚有效期内的泛域名证书，目前还没有使用 Let’s Encrypt，是的，你可以用
来访问小众软件，不过由于历史以及 CDN 遗留问题，还没有全站切换过去，等待 HTTP/2 吧。
不过发现频道()已经 HTTPS 了哦。有疑问欢迎留言反馈。
注意，支付宝等一些接口是不支持 Let’s Encrypt的，所以如果你的网站有使用支付宝接口，请慎重考虑，或者在nginx上单独建一个http规则专门给支付宝接口用。
按分类查看文章:
大家都在讨论些什么
: QQ,微信,支付宝
算不算23333
teamviwer,快图浏览,网易云音乐: 很不错的软件，给我们办公室的同事们都推荐了，这几天上班都说挺好用的，加油！: 开代理了么: 因为你要开的是两个网页....: 我为啥不开两个网页一个 /mail/u/0/ 一个 /mail/u/1/ ...: yomail 区别？: 表示还没收到
最热门标签
传说中的小众软件 让你的手机应用与众不同。
商业网站或未授权媒体不得复制、转载、使用本站内容。}