Let’s Encrypt — это бесплатный, автоматизированный и открытый Центр Сертификации, созданный некоммерческой организацией Internet Security Research Group (ISRG).
Центр сертификации Let’s Encrypt выдаёт валидные сертификаты SSL сроком действия на 90 дней. Мы также можем автоматизировать процесс продления сертификатов с помощью запланировщика задач cron.

Устанавливаем необходимые пакеты:

Ubuntu / Debian

apt install certbot python3-certbot-nginx -y

RHEL

yum install git python -y

Скачиваем необходимые файлы с репозитория Let's Encrypt:

git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Создадим конфигурацию для сайта newsite.com в NGINX:

vi /etc/nginx/conf.d/newsite_com.conf
server {
    listen       80;
    server_name  newsite.com www.newsite.com;
	
    #return 301 https://$host$request_uri;

    root   /usr/share/nginx/html;
    index  index.html;

    location / {
        deny all;
    }

    location ^~ /.well-known {
        default_type 'text/plain';
	allow all;
    }

    error_log	/var/log/nginx/newsite_com_error.log error;
    access_log  /var/log/nginx/newsite_com_access.log;
}

Проверяем изменения на наличие ошибок и перечитываем конфиг:

nginx -t
nginx -s reload

Запускаем скрипт для получения сертификата для домена newsite.com:

Ubuntu / Debian

certbot certonly -a webroot -w /usr/share/nginx/html --email [email protected] --agree-tos -d newsite.com -d www.newsite.com

RHEL

/opt/letsencrypt/letsencrypt-auto certonly -a webroot -w /usr/share/nginx/html --email [email protected] --agree-tos -d newsite.com -d www.newsite.com

Проверяем наличие сертификата в директории:

ls -l /etc/letsencrypt/live/

Редактируем конфигурацию сайта:

vi /etc/nginx/conf.d/newsite_com.conf
server {
    listen       80;
    server_name  newsite.com www.newsite.com;
	
    return 301 https://$host$request_uri;

    root   /usr/share/nginx/html;
    index  index.html;

    location / {
        deny all;
    }

    location ^~ /.well-known {
	default_type 'text/plain';
	allow all;
    }

    error_log	/var/log/nginx/newsite_com_error.log error;
    access_log  /var/log/nginx/newsite_com_access.log;
}

server {
    listen       443 ssl;
    server_name  newsite.com www.newsite.com;
	
    ssl_certificate /etc/letsencrypt/live/newsite.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/newsite.com/privkey.pem;
	
    ssl_protocols TLSv1.1 TLSv1.2;
    ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;

    root   /usr/share/nginx/html;
    index  index.html;

    location / {
        try_files $uri $uri/ =404;
    }
	
    location ^~ /.well-known {
	default_type 'text/plain';
	allow all;
    }

    error_log	/var/log/nginx/newsite_com_ssl_error.log error;
    access_log  /var/log/nginx/newsite_com_ssl_access.log;
}

Проверяем изменения на наличие ошибок и перечитываем конфиг:

nginx -t
nginx -s reload

Создадим простой скрипт для продления сертификатов:

RHEL

vi /opt/letsencrypt/le-renew.sh

#!/bin/bash

# run the letsencrypt script to renew all expired certificates
/opt/letsencrypt/letsencrypt-auto renew --webroot -w /usr/share/nginx/html

# reload nginx configuration
systemctl reload nginx

Запланируем запуск скрипта на каждый месяц:

crontab -e
0 0 1 * * /opt/letsencrypt/le-renew.sh

Делаем скрипт исполняемым:

chmod u+x /opt/letsencrypt/le-renew.sh