# Let's Encrypt HTTPS 证书配置指南

本指南用于在 Amazon Linux 2023 系统上使用 Let's Encrypt 免费证书为 Nginx 配置 HTTPS。

## 前置条件

- 系统：Amazon Linux 2023
- Web 服务器：Nginx
- 域名已正确解析到服务器 IP
- 防火墙已开放 80 和 443 端口

## 配置步骤

### 1. 检查系统环境

```bash
# 检查操作系统版本
cat /etc/os-release

# 检查 Nginx 是否已安装
nginx -v

# 检查域名 DNS 解析
nslookup your-domain.com
```

### 2. 安装所需软件

```bash
# 更新软件包
dnf update -y

# 安装 Nginx（如果未安装）
dnf install -y nginx

# 启动并启用 Nginx
systemctl start nginx
systemctl enable nginx

# 安装 Certbot
dnf install -y certbot

# 安装 Certbot Nginx 插件
dnf install -y python3-certbot-nginx
```

### 3. 确保 Nginx 配置正确

```bash
# 检查 Nginx 配置文件语法
nginx -t

# 如果配置文件存在，确认 HTTP 80 端口配置正确
# 编辑 Nginx 配置文件（根据实际情况修改）
vi /etc/nginx/conf.d/your-site.conf
```

**Nginx HTTP 配置示例：**

```nginx
server {
listen 80;
server_name your-domain.com;

location / {
root /var/www/your-site;
index index.html;
try_files $uri $uri/ /index.html;
}
}
```

```bash
# 重新加载 Nginx 配置
systemctl reload nginx
```

### 4. 获取 Let's Encrypt 证书

```bash
# 方法一：使用 Certbot 自动配置（推荐）
# 将 your-domain.com 替换为您的实际域名
certbot --nginx -d your-domain.com --non-interactive --agree-tos --email admin@yourdomain.com --redirect

# 方法二：如果需要多个域名
certbot --nginx -d your-domain.com -d www.your-domain.com --non-interactive --agree-tos --email admin@yourdomain.com --redirect

# 方法三：仅获取证书不自动配置（手动配置）
certbot certonly --nginx -d your-domain.com --non-interactive --agree-tos --email admin@yourdomain.com
```

**参数说明：**
- `--nginx`: 使用 Nginx 插件
- `-d`: 指定域名
- `--non-interactive`: 非交互模式
- `--agree-tos`: 同意服务条款
- `--email`: 证书过期提醒邮箱
- `--redirect`: 自动将 HTTP 重定向到 HTTPS

### 5. 手动配置 Nginx（如果方法一失败）

如果自动配置失败，请手动配置：

```bash
# 备份原配置文件
cp /etc/nginx/conf.d/your-site.conf /etc/nginx/conf.d/your-site.conf.backup

# 编辑配置文件
vi /etc/nginx/conf.d/your-site.conf
```

**HTTPS 配置示例：**

```nginx
server {
listen 80;
server_name your-domain.com;
return 301 https://$host$request_uri;
}

server {
listen 443 ssl http2;
server_name your-domain.com;

# SSL 证书路径
ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem;

# SSL 配置
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

# 您的网站配置
location / {
root /var/www/your-site;
index index.html;
try_files $uri $uri/ /index.html;
}
}
```

```bash
# 测试并重新加载 Nginx
nginx -t
systemctl reload nginx
```

### 6. 配置证书自动续期

#### 方法一：使用 systemd timer（推荐）

```bash
# 创建续期服务文件
cat > /etc/systemd/system/certbot-renewal.service << 'EOF'
[Unit]
Description=Let's Encrypt SSL Certificate Renewal
After=network-online.target
Wants=network-online.target

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --quiet --deploy-hook "systemctl reload nginx"
EOF

# 创建定时器文件
cat > /etc/systemd/system/certbot-renewal.timer << 'EOF'
[Unit]
Description=Daily Let's Encrypt SSL Certificate Renewal Timer

[Timer]
OnCalendar=daily
RandomizedDelaySec=1h
Persistent=true

[Install]
WantedBy=timers.target
EOF

# 重新加载 systemd 配置
systemctl daemon-reload

# 启用并启动定时器
systemctl enable certbot-renewal.timer --now

# 检查定时器状态
systemctl status certbot-renewal.timer
systemctl list-timers certbot-renewal.timer
```

#### 方法二：使用 crontab（备选）

```bash
# 编辑 crontab
crontab -e

# 添加以下内容（每天凌晨 3 点检查续期）
0 3 * * * certbot renew --quiet --deploy-hook 'systemctl reload nginx'
```

### 7. 验证配置

```bash
# 1. 检查证书信息
certbot certificates

# 2. 测试 HTTPS 访问
curl -I https://your-domain.com/

# 3. 测试自动重定向
curl -I http://your-domain.com/

# 4. 测试证书续期（不会实际续期）
certbot renew --dry-run

# 5. 查看 Nginx 错误日志
tail -f /var/log/nginx/error.log

# 6. 查看 Certbot 日志
tail -f /var/log/letsencrypt/letsencrypt.log
```

## 常用管理命令

### 证书管理

```bash
# 查看已安装的证书
certbot certificates

# 手动续期所有证书
certbot renew

# 续期特定证书
certbot renew --cert-name your-domain.com

# 撤销证书
certbot revoke --cert-path /etc/letsencrypt/live/your-domain.com/cert.pem

# 删除证书
certbot delete --cert-name your-domain.com
```

### Nginx 管理

```bash
# 检查配置文件语法
nginx -t

# 重新加载配置（不中断服务）
systemctl reload nginx

# 重启服务
systemctl restart nginx

# 查看状态
systemctl status nginx
```

## 故障排查

### 1. 证书获取失败

**问题：DNS 解析失败**
```bash
# 检查域名是否解析到正确 IP
nslookup your-domain.com
dig your-domain.com +short

# 确保防火墙开放 80 和 443 端口
# 对于 Amazon Linux 2023 / Amazon Linux 2
sudo iptables -L -n | grep -E ':(80|443)'

# 对于使用 Security Groups 的 EC2 实例
# 请在 AWS 控制台确认入站规则包含 80 和 443 端口
```

**问题：端口被占用**
```bash
# 检查 80 和 443 端口占用情况
netstat -tlnp | grep -E ':(80|443)'
ss -tlnp | grep -E ':(80|443)'
```

### 2. 自动续期失败

**问题：定时器未运行**
```bash
# 检查定时器状态
systemctl status certbot-renewal.timer

# 手动启动定时器
systemctl start certbot-renewal.timer

# 查看定时器日志
journalctl -u certbot-renewal.timer
journalctl -u certbot-renewal.service
```

**问题：证书续期测试失败**
```bash
# 运行详细测试
certbot renew --dry-run --force-renewal

# 查看详细日志
certbot renew --dry-run --force-renewal -v
```

### 3. HTTPS 无法访问

**问题：证书链不完整**
```bash
# 检查证书文件
ls -la /etc/letsencrypt/live/your-domain.com/

# 应该包含以下文件：
# cert.pem chain.pem fullchain.pem privkey.pem README
```

**问题：Nginx 配置错误**
```bash
# 检查 Nginx 错误日志
tail -100 /var/log/nginx/error.log

# 测试配置文件
nginx -t

# 如果配置正确，重新加载
systemctl reload nginx
```

## 证书路径说明

Let's Encrypt 证书文件位于 `/etc/letsencrypt/live/your-domain.com/` 目录：

- **fullchain.pem**: 完整证书链（服务器证书 + 中间证书）
- **privkey.pem**: 私钥文件
- **chain.pem**: 中间证书
- **cert.pem**: 服务器证书

**重要**：Nginx 配置中应使用 `/etc/letsencrypt/live/your-domain.com/fullchain.pem` 和 `/etc/letsencrypt/live/your-domain.com/privkey.pem`，而不是直接链接到 archive 目录，因为 live 目录包含符号链接，会在证书更新时自动指向最新证书。

## 安全建议

1. **定期备份证书**
```bash
# 备份 Let's Encrypt 目录
tar -czf /backup/letsencrypt-$(date +%Y%m%d).tar.gz /etc/letsencrypt/
```

2. **监控证书过期**
```bash
# 查看证书过期日期
certbot certificates | grep "Expiry Date"
```

3. **使用强密码保护私钥**
```bash
# 设置私钥文件权限（仅 root 可读）
chmod 600 /etc/letsencrypt/live/your-domain.com/privkey.pem
```

## 多域名证书

如果您需要为多个域名配置证书：

```bash
# 为多个域名获取单个证书
certbot --nginx -d domain1.com -d www.domain1.com -d domain2.com -d www.domain2.com --non-interactive --agree-tos --email admin@yourdomain.com --redirect

# 为不同域名分别获取证书
certbot --nginx -d domain1.com --non-interactive --agree-tos --email admin@domain1.com --redirect
certbot --nginx -d domain2.com --non-interactive --agree-tos --email admin@domain2.com --redirect
```

## 注意事项

1. **域名 DNS 解析**：确保域名已正确解析到服务器 IP，否则无法获取证书
2. **防火墙设置**：确保 80 和 443 端口对外开放
3. **证书有效期**：Let's Encrypt 证书有效期为 90 天，系统会自动续期
4. **续期限制**：Let's Encrypt 有速率限制，同一域名每周最多获取 5 个证书
5. **邮箱通知**：证书过期前会发送邮件到指定邮箱，请确保邮箱可访问

## 参考资源

- Let's Encrypt 官网: https://letsencrypt.org/
- Certbot 文档: https://certbot.eff.org/docs/
- Nginx SSL 配置: https://nginx.org/en/docs/http/configuring_https_servers.html

---

**配置完成后，请使用以下命令验证：**

```bash
# 检查证书
certbot certificates

# 测试 HTTPS
curl -I https://your-domain.com/

# 检查续期定时器
systemctl status certbot-renewal.timer
```

如果所有检查都通过，说明 HTTPS 证书配置成功！