怎么申请Let’s Encrypt的E5/E6证书?
发布日期:
作者: 西木
评论数:暂无评论
上篇文章讲了E5/E6证书与R10/R11证书的区别,在之前的 LNMP手动搭建的方法 和 LAMP手动搭建的方法 这两篇文章的配置https部分,讲了怎么获取和安装Let’s Encrypt证书,但命令里面没加--key-type默认获取的是R10/R11证书。这篇讲下怎么获取和安装 key type 为 ECDSA P-384 的E5/E6证书。
以下是使用Certbot获取和安装E5/E6证书的步骤:
1. 安装 Certbot 和插件(Certbot 是 Let’s Encrypt 官方建议的帮助自动获取和安装 Let’s Encrypt 证书的工具)
- 如果Web服务器为Apache:
sudo apt install certbot python3-certbot-apache- 如果Web服务器为Nginx:
sudo apt install certbot python3-certbot-nginx2. 获取 SSL 证书
生成 ECDSA 证书: Certbot 默认生成 RSA 证书,但你可以通过添加 --key-type 选项来指定密钥类型为 ECDSA。以下是生成 ECDSA P-384 证书的命令:
- 如果Web服务器为Apache:
sudo certbot --apache --key-type ecdsa- 如果Web服务器为Nginx:
sudo certbot --nginx --key-type ecdsaCertbot 会引导你完成证书的获取和安装。你需要提供你的电子邮件地址,并同意服务条款,共享电子邮件地址可选N(如果你愿意接收来自 EFF 的邮件,可以输入 Y 并按回车;否则,输入 N 并按回车。这不会影响证书的获取和安装)。然后,Certbot 会自动配置 Apache 以使用新的 SSL 证书。你可以通过访问 https://your_domain 来验证 SSL 证书是否正确安装。
3. 自动续订 SSL 证书
Let’s Encrypt 的证书有效期为 90 天。Certbot 会自动配置一个 cron 作业来定期续订证书。你可以通过以下命令手动测试自动续订功能:
sudo certbot renew --dry-run如果网站之前已经配置了R10/R11证书,怎么更改为E5/E6证书?运行下面命令更改:
- 如果Web服务器为Apache:
sudo certbot --apache --cert-name your_domain --key-type ecdsa- 如果Web服务器为Nginx:
sudo certbot --nginx --cert-name your_domain --key-type ecdsa运行命令后会提示是否替换,选择 Renew & replace the certificate 的选项等待完成,即可将原来的R10/R11证书替换为E5/E6证书。
如果又想从E5/E6证书改回R10/R11证书,运行下面命令更改:
- 如果Web服务器为Apache:
sudo certbot --apache --cert-name your_domain --key-type rsa- 如果Web服务器为Nginx:
sudo certbot --nginx --cert-name your_domain --key-type rsa运行命令后会提示是否替换,选择 Renew & replace the certificate 的选项等待完成,即可将原来的E5/E6证书替换为R10/R11证书。
