https://letsencrypt.org/
Gena Makhomed
gmm на csdoc.com
Пт Окт 14 12:29:08 UTC 2016
On 14.10.2016 13:16, avk wrote:
>Сабдомейны использовать не можем,
> потому что нет вильдкард сертификата. Может быть есть идеи?
https://letsencrypt.org/ - бесплатные SSL сертификаты.
конфиг nginx:
location /.well-known/acme-challenge {
default_type text/plain;
root /opt/letsencrypt;
}
получение сертификата:
#!/bin/bash
OPT="-a webroot --webroot-path=/opt/letsencrypt --agree-dev-preview"
/opt/letsencrypt/letsencrypt-auto $OPT certonly -d example.com -d
www.example.com
обновление сертификата: (запускать через крон)
#!/bin/sh
if ! /opt/letsencrypt/letsencrypt-auto renew -nvv --webroot
--webroot-path=/opt/letsencrypt > /var/log/letsencrypt/renew.log 2>&1 ; then
echo Automated renewal failed:
cat /var/log/letsencrypt/renew.log
fi
systemctl reload nginx
exit
использование:
listen 11.22.33.44:443 ssl http2;
server_name www.example.com example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
# https://gist.github.com/plentz/6737338
# http://tautt.com/best-nginx-configuration-for-security/
add_header Strict-Transport-Security "max-age=31536000" always;
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;
проверка:
https://www.ssllabs.com/ssltest/
--
Best regards,
Gena
Подробная информация о списке рассылки nginx-ru