一、基本介绍

1.官方网站：https://certbot.eff.org/

2.检测 CentOS 版本

# Snap 在 CentOS 7 版本及以上可用
cat /etc/centos-release

二、安装 Snapd

# 安装 Snapd
yum install -y snapd

# 启用 snap
systemctl enable --now snapd.socket

# 创建软连接，注意地址不是 /usr/bin/snap
ln -s /var/lib/snapd/snap /snap

三、安装 Certbot

1.安装软件

# snap install core 执行两次，第一次报错：error: too early for operation, device not yet seeded ...
snap install core 
snap refresh core

# 安装 Certbot
snap install --classic certbot

# 创建软连接
ln -s /snap/bin/certbot /usr/bin/certbot

2.生成证书

yum install -y python-certbot-nginx

# 手动模式申请单个域名
certbot certonly --nginx --nginx-server-root=/usr/local/software/nginx1.24/conf --email 895947580@qq.com -d xxx.xxx.cn

# 申请成功后，证书地址
cd /etc/letsencrypt/live/

3.自动续期

# 自动获取所有域名证书并尝试续期
certbot renew --dry-run

# 静默方式，不返回的信息
certbot renew --quiet

4.定时任务自动续期

crontab -e

# 每天凌晨 02:00 分执行一次
0 2 * * * certbot renew --quiet && nginx -s reload

5.其他命令

# 列出所有证书
certbot certificates

# 删除证书
certbot delete --cert-name xxx.xxx.cn

四、Nginx 配置

# SSL 配置
ssl_certificate /etc/letsencrypt/live/xxx.jdzor.cn/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/xxx.jdzor.cn/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;