musu.me

startssl 쓰다가 크롬, 파폭에서 더 이상 인정을 안해서 렛츠인크립트라는거로 바꾸게되었다.

이것은 무료다. 도네이트를 해도 된다.

그냥 아래 대로 따라서 입력하면된다

우분투, 엔진엑스를 기준으로 썻다.

녹색글씨는 커맨드 아니고 설정파일 안에 붙여넣으면 되는 것들이다.

yourdomain.com 이라고 쓴 부분은 당신의 도메인에 맞게 바꾸면 된다.

sudo apt-get update

sudo apt-get install git bc

sudo git clone https://github.com/letsencrypt/letsencrypt /sslwork/letsencrypt # /sslwork/letsencrypt 경로는 원하는곳으로 치환해도 된다

sudo service nginx stop # 일단 꺼야해 netstat -na | grep '80.*LISTEN' 해서 아무것도 안나오면 잘 꺼진거다

cd /sslwork/letsencrypt # 설치한 경로로 이동

sudo ./letsencrypt-auto certonly --standalone # 프로그램 설치되고 인증서 등록을 위한 물음들이 나오는데 영어 잘 읽고 맞게 답하면 된다. 도메인 입력할땐 스페이스로 구분해서 써넣자. 맨 앞에 쓰는 도메인이 폴더명이 된다.

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096 # https://weakdh.org/ 이거를 위해서!

sudo vim /etc/nginx/sites-available/default #해서 아래 설정 입력

server {

        listen 443;

        server_name 0.0.0.0;

        ssl on;

        ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;

        ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        ssl_prefer_server_ciphers on;

        ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";

        ssl_dhparam /etc/ssl/certs/dhparam.pem;

        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";

.

.

}

crontab -e #인증서는 90일 후 만료되므로 크론탭에다가 30 2 1 * 1 /sslwork/letsencrypt/certbot-auto renew # 매월 1일 2시 30분에 인증서 갱신하도록 넣자

sudo service nginx restart #엔진엑스 재시작. 그리고 사이트 접속해서 안전함으로 잘 뜨나 확인하자 https://www.ssllabs.com/ssltest/analyze.html?d=yourdomain.com 이 사이트에서 확인 가능