So fügen Zertifikat für die sub-Domäne verwenden Können, Verschlüsseln

Ich habe einen NGINX server, den ich versuche, fügen Sie SSL mit Let ' s Encrypt .

Meine Entwicklung-Einstellungen sind wie folgt:

url : dev.domain.in
root: /var/www/dev/html

Die Produktion ist wie folgt:

url : domain.in
root: /var/www/production/html

So, in meiner nginx-default-Seite, ich habe zwei server-Blöcke eines für Entwicklung und ein weiteres für die Produktion

Möchte ich eine Zertifizierung für die Server.

Weiß ich nach dem Let ' s Encrypt-website lautet der Befehl wie folgt

cd /opt/letsencrypt ./letsencrypt-auto certonly -ein webroot
--webroot-path=/usr/share/nginx/html -d example.com -d www.example.com

Aber das kann nur getan werden, wenn die SUBDOMAIN hat den gleichen webroot, die nicht wahr in meinem Fall.

So, wie ich hinzufügen kann, den CERT-Teams für die beiden hier

Bitte helfen Sie mir

  • Mal eine Rückmeldung geben?
InformationsquelleAutor Vikram Anand Bhushan | 2016-04-17
  1. 10

    Ich nutzen eine gemeinsame webroot über alle meine virtuellen hosts auf meiner nginx-box.

    /opt/certbot/certbot-auto certonly --webroot --agree-tos -w /srv/www/letsencrypt/\
-d example.com,www.example.com

    ... und in der nginx-ich habe snippets/letsencrypt.conf:

    location ~ /.well-known {
    root /srv/www/letsencrypt;
    allow all;
}

    ... die bekommt in meiner server-block für jede Website.

    Den Dateien in der .bekannte Verzeichnis temporär sind - Sie existieren nur für lange genug, um die Genehmigungsverfahren abschließen und werden dann entfernt.

    Sobald die Registrierung erfolgreich ist, ich dann das Zertifikat in die definition von server block über include ssl/example.com.conf; wo die Datei enthält die folgenden:

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    ... zusammen mit den entsprechenden listen-Anweisungen zum aktivieren von SSL auf port 443.

    Können Sie auch die gleiche definition in mehrere server blockiert.

    Habe ich weitere subdomains wie SANs, die in mein Zertifikat und ich haben getrennte server-Blöcke für example.com, www.example.com und auch andere subdomains, wie click.example.com - alle mit dem gleichen Zertifikat.

    • Fand das extrem nützlich. Spart eine Menge Tipparbeit und erleichtert die letsencrypt Befehl. Danke!!!!
    InformationsquelleAutor Simon Hampel
  2. 1

    Ermöglicht das Verschlüsseln von webroot Methode verwendet eine Datei auf Ihrem webroot Verzeichnis namens ".bekannte/acme-challenge". Sie können konfigurieren, dass ein Standort-snippet auf Ihre dev und die wichtigsten server-zu-Punkt zu einem anderen webroot nur für diese Datei.

    Etwas wie:

       location /.well-known/acme-challenge {
        alias /etc/letsencrypt/webrootauth/.well-known/acme-challenge;
        location ~ /.well-known/acme-challenge/(.*) {
            add_header Content-Type application/jose+json;
        }
    }

    Und zeigen Sie Ihre webroot als --webroot-path /etc/letsencrypt/webrootauth

    Diese Diskussion helfen kann

    Oder Sie können eigenständige Methode und einige arbeiten von hand.

    • Sie können hinzufügen, access-control, um dieses Verzeichnis lesbar, die durch die Welt (challenge-Server ip ändern), wenn Sie einige Websites, die mit access-control, wie die Entwicklung von Websites oder admin-sites beschränkt, die durch Passwort oder ip. Dieses Verzeichnis enthält nur die challenge/response für eine kurze Zeit, und mit einem unpretictable Namen, also keine Sicherheit risc hier.
    InformationsquelleAutor JrBenito
Schreibe einen Kommentar