[華語, cmn-Hant-TW]
免費的 SSL – Let’s Encrypt 終於到了公測階段,其實之前封測的時候就有先試玩看看,是可以用啦不過問題比較多,要一些小技巧還有設定才能跑,而且 FreeBSD 的 ports 也還沒出來,現在的話有進 ports 用起來就方便很多,直接裝 security/py-letsencrypt 就可以用了
裝好之後執行 letsencrypt certonly,輸入 e-mail 跟要申請的網域就可以了,申請的過程需要用 80 port 來驗證,所以要先把網頁伺服器暫時關掉,然後當然要申請的網址也要確實有指到這台機器上,這樣才能驗證成功,如果順利的話應該幾秒鐘就申請完成了
在 FreeBSD 下暫時還沒有支援 apache 跟 nginx 的整合,所以這邊要自己弄,所有 letsencrypt 的檔案都會放在 /usr/local/etc/letsencrypt 的目錄下,以 pighead.cc 網域來當例子的話,就會放在 /usr/local/etc/letsencrypt/live/pighead.cc/,裡面會有 symbolic link 建好的 cert.pem chain.pem fullchain.pem privkey.pem,檔案,看名字大概就會知道幹嘛用的了,以 apache 的設定來講,SSL 的部份就要設成
SSLEngine on SSLCertificateFile /usr/local/etc/letsencrypt/live/pighead.cc/cert.pem SSLCertificateKeyFile /usr/local/etc/letsencrypt/live/pighead.cc/privkey.pem SSLCertificateChainFile /usr/local/etc/letsencrypt/live/pighead.cc/chain.pem |
這樣應該就可以動了,要注意的是這個 cert 只有 90 天的有效期限,所以時間到之前要記得 renew,不過還好 let’s encrypt 會這樣設計就是因為 renew 超方便,其本上一個指令就可以完成,所以丟 crontab 或是更新的時候順手弄一下就可以了
整體而言使用起來還蠻讓人滿意的,老實說免費還是其次,不用填那堆有的沒的就能快速使用 SSL 才是真正吸引人的地方