Let's Encrypt是一个证书颁发机构 (CA)，它提供了一种简单的方法来获取和安装免费的TLS/SSL 证书，从而在 Web 服务器上启用加密的 HTTPS。它通过提供软件客户端Certbot来简化流程，该客户端尝试自动化大部分（如果不是全部）所需步骤。目前，获取和安装证书的整个过程在 Apache 和 Nginx 上都是完全自动化的。

在本教程中，您将使用 Certbot 为 Debian 10 上的 Apache 获取免费的 SSL 证书，并将您的证书设置为自动更新。

本教程将使用单独的 Apache 虚拟主机文件而不是默认配置文件。我们建议为每个域创建新的 Apache 虚拟主机文件，因为它有助于避免常见错误并将默认文件维护为备用配置。

先决条件

要遵循本教程，您将需要：

• 一台 Debian 10 服务器，包括具有特权和防火墙的非root用户。sudo
• 完全注册的域名。本教程将始终使用your_domain作为示例。您可以在Namecheap上购买一个域名，在Freenom上免费获得一个，或者使用您选择的域名注册商。
• 为您的服务器设置了以下两个 DNS 记录。要设置这些，您可以按照这些说明添加域，然后按照这些说明创建 DNS 记录。
• your_domain指向您服务器的公共 IP 地址的 A 记录。
• 指向您服务器的公共 IP 地址的 A 记录。www.your_domain
• 在 Debian 10 上安装 Apache 安装 Apache。确保为您的域设置了虚拟主机文件。本教程将用作示例。/etc/apache2/sites-available/your_domain.conf

第 1 步 — 安装 Certbot

使用 Let's Encrypt 获取 SSL 证书的第一步是在您的服务器上安装 Certbot 软件。

注意：目前，Debian 软件存储库默认不提供 Certbot，但可以在文件中配置buster-backports存储库，/etc/apt/sources.list以允许您使用 APT 安装 Certbot 软件的反向移植。然而， Backports是从 Debian 的测试和不稳定存储库中重新编译的软件包，它们已经重新编译以在稳定的 Debian 发行版中运行。这些软件包没有定期测试，可能并不总是最新的。因此，Certbot backport 将安装版本0.31而撰写本文时的当前版本是1.09. 这些版本的 Certbot 之间的一个显着区别是版本的默认设置0.31将启用 TLS v1.0 和 TLS v1.1，这两个安全协议已在大多数主要 Web 浏览器中被弃用，启用这些协议可能会出现安全漏洞。虽然可以更改此默认设置，但这样做可能会破坏使 Certbot 如此有用的自动更新。在 Debian APT 存储库提供更新版本的 Certbot 之前，本教程将遵循Certbot 文档的安装版本建议1.09snappy是为 Linux 系统开发的包管理器，它以一种称为 snaps 的格式安装包。

要在 Debian 上快速安装 Certbot，您必须首先snapd在您的服务器上安装。snapd是安装、使用和管理快照所需的守护程序。安装该snapd软件包还将snap在您的服务器上安装该命令。

要安装snapd，如果您最近没有这样做，请更新您的本地包索引：

$ sudo apt update

然后安装snapd包：

$ sudo apt install snapd

运行此命令后，系统将提示您确认是否要安装snapd及其依赖项。按Y，然后按ENTER。

接下来，使用snap命令安装core snap。这将在您的服务器上安装一些您安装的任何快照所需的依赖项，包括 Certbot 快照：

$ sudo snap install core

然后刷新core快照。这样做将确保您安装了最新版本snapd及其依赖项：

$ sudo snap refresh core

之后，您可以certbot使用以下命令安装 snap。

请注意，快照可以安装在三个限制级别之一下，这些限制级别提供与系统不同程度的隔离。例如，大多数快照--strict默认安装在限制级别下，这会阻止这些程序访问您系统的文件或网络。因为必须允许 Certbot 编辑某些配置文件才能正确设置证书，所以此命令包含该--classic选项。此限制级别允许安装在其下的任何快照与传统软件包一样访问系统资源：

$ sudo snap install --classic certbot

此安装过程将certbot在目录中安装可执行文件/snap/bin/。在目录中创建指向此文件的符号链接，/usr/bin/以确保您可以certbot在系统上的任何位置运行该命令：

$ sudo ln -s /snap/bin/certbot /usr/bin/certbot

Certbot 现在可以使用了，但为了让它为 Apache 配置 SSL，我们需要验证 Apache 是否已正确配置。

第 2 步 — 设置 SSL 证书

Certbot 需要能够在您的 Apache 配置中找到正确的虚拟主机，才能自动配置 SSL。具体来说，它通过查找ServerName与您为其请求证书的域匹配的指令来做到这一点。

您的域应该有一个VirtualHost块，并且该指令已经正确设置。请检查/etc/apache2/sites-available/your_domain.conf 文件中的ServerName

请使用或您喜欢的文本编辑器打开您的域的虚拟主机文件：

$ sudo nano /etc/apache2/sites-available/your_domain.conf

找到现有的ServerName线。它应该看起来像这样，使用您自己的域名而不是your_domain：

...
ServerName your_domain;
...

如果还没有，请更新ServerName指令以指向您的域名。然后保存文件并退出编辑器。如果您使用过nano，请按CTRL + X, Y, 然后ENTER。

接下来，验证配置编辑的语法：

$ sudo apache2ctl configtest

如果没有任何语法错误，您将在输出中看到：

Output. . .
Syntax OK

如果出现错误，请重新打开虚拟主机文件并检查是否有任何拼写错误或缺少字符。一旦配置文件的语法正确，重新加载 Apache 以加载新配置：

$ sudo systemctl reload apache2

Certbot 现在可以找到正确的VirtualHost块并对其进行更新。

接下来，让我们更新防火墙以允许 HTTPS 流量。

第 3 步 — 允许 HTTPS 通过防火墙

如果ufw按照先决条件指南的建议启用了防火墙，则需要调整设置以允许 HTTPS 流量。幸运的是，当安装在 Debian 上时，ufw它附带了一些配置文件，有助于简化更改 HTTP 和 HTTPS 流量的防火墙规则的过程。

您可以通过键入以下内容查看当前设置：

$ sudo ufw status

此命令的输出将如下所示，表明仅允许 HTTP 流量进入 Web 服务器：

OutputStatus: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere                  
WWW                        ALLOW       Anywhere                  
OpenSSH (v6)               ALLOW       Anywhere (v6)             
WWW (v6)                   ALLOW       Anywhere (v6)

要额外允许 HTTPS 流量，请允许“WWW Full”配置文件并删除多余的“WWW”配置文件：

$ sudo ufw allow 'WWW Full'

$ sudo ufw delete allow 'WWW'

再次检查状态：

$ sudo ufw status

OutputStatus: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere                  
WWW Full                   ALLOW       Anywhere                  
OpenSSH (v6)               ALLOW       Anywhere (v6)             
WWW Full (v6)              ALLOW       Anywhere (v6)   

接下来，让我们运行 Certbot 并获取我们的证书。

第 4 步 — 获取 SSL 证书

Certbot 提供了多种通过插件获取 SSL 证书的方式。Apache 插件将负责重新配置 Apache 并在必要时重新加载配置。要使用此插件，请键入以下内容：

sudo certbot --apache -d your_domain -d www.your_domain

certbot与--apache插件一起运行，-d用于指定您希望证书对其有效的名称。

如果这是您第一次运行certbot，系统将提示您输入电子邮件地址并同意服务条款。此外，它会询问您是否愿意与电子前沿基金会共享您的电子邮件地址，该基金会是一个倡导数字权利的非营利组织，也是 Certbot 的制造商。随意输入Y以分享您的电子邮件地址或N拒绝。

完成此操作后，certbot将与 Let's Encrypt 服务器通信，然后运行质询以验证您是否控制了要为其请求证书的域。

如果成功，配置将自动更新，Apache 将重新加载以获取新设置。certbot最后将显示一条消息，告诉您过程成功以及证书的存储位置：

Output. . .

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/your_domain/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/your_domain/privkey.pem
   Your cert will expire on 2021-01-20. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot again
   with the "certonly" option. To non-interactively renew *all* of
   your certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

您的证书已下载、安装和加载。尝试使用https://并注意浏览器的安全指示器重新加载您的网站。它应该表明该站点已得到适当保护，通常带有绿色锁图标。如果您使用SSL Labs Server Test测试您的服务器，它将获得A级。

第 5 步 — 验证 Certbot 自动续订

Let's Encrypt 证书的有效期只有九十天。这是为了鼓励用户自动化他们的证书更新过程。我们安装的certbot包通过向/etc/cron.d. 此脚本每天运行两次，并将自动更新到期后三十天内的任何证书。

要测试更新过程，您可以使用以下命令进行试运行certbot：

sudo certbot renew --dry-run

如果您没有看到任何错误，则说明一切就绪。必要时，Certbot 将更新您的证书并重新加载 Apache 以获取更改。如果自动续订过程失败，Let's Encrypt 将向您指定的电子邮件发送一条消息，在您的证书即将到期时警告您。

结论

在本教程中，您安装了 Let's Encrypt 客户端certbot，为您的域下载 SSL 证书，配置 Apache 以使用这些证书，并设置自动证书更新。如果您对使用 Certbot 有其他疑问，他们的文档是一个很好的起点。