centos7使用letsencrypt获取免费https证书
免费的证书 目前我就找到两个 可以申请的网站.
FreeSSl特点:
部分免费方便,申请过程简单,可以一次申请一年有效期。
官方地址
https://freessl.cn/apply?domains=xcx.cnxinfuli.com&product=trustasia01&from=
Let’s Encrypt特点:
SSL证书免费,申请过程简单,使用提供的certbot工具即可自动生成SSL证书。
虽然证书只有90天的有效期,但是可以通过脚本定期更新,配置好后即可长久使用。
官方地址
https://letsencrypt.org/zh-cn/
什么是 Let’s Encrypt?
部署 HTTPS 网站的时候需要证书,证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 HTTPS 协议的使用。
Let’s Encrypt 也是一个 CA 机构,但这个 CA 机构是免费的。也就是说签发证书不需要任何费用。Let’s Encrypt 由于是非盈利性的组织,需要控制开支,他们搞了一个非常有创意的事情,设计了一个 ACME 协议。
那为什么要创建 ACME 协议呢,传统的 CA 机构是人工受理证书申请、证书更新、证书撤销,完全是手动处理的。而 ACME 协议规范化了证书申请、更新、撤销等流程,只要一个客户端实现了该协议的功能,通过客户端就可以向 Let’s Encrypt 申请证书,也就是说 Let’s Encrypt CA 完全是自动化操作的。
任何人都可以基于 ACME 协议实现一个客户端,官方推荐的客户端是Certbot 。
什么是通配符证书
在没有出现通配符证书之前,Let’s Encrypt 支持两种证书。
1)单域名证书:证书仅仅包含一个主机。
2)SAN 证书:域名通配符证书类似 DNS 解析的泛域名概念,通配符证书就是证书中可以包含一个通配符(*.exmaple.com)。主域名签发的通配符证书可以在所有子域名中使用,比如 www.example.com、bbs.example.com。
申请通配符证书
Let’s Encrypt 上的证书申请是通过 ACME 协议来完成的。ACME 协议规范化了证书申请、更新、撤销等流程,实现了 Let’s Encrypt CA 自动化操作。解决了传统的 CA 机构是人工手动处理证书申请、证书更新、证书撤销的效率和成本问题。
ACME v2 是 ACME 协议的更新版本,通配符证书只能通过 ACME v2 获得。要使用 ACME v2 协议申请通配符证书,只需一个支持该协议的客户端就可以了,官方推荐的客户端是 Certbot
客户在申请 Let’s Encrypt 证书的时候,需要校验域名的所有权,证明操作者有权利为该域名申请证书,目前支持三种验证方式:
dns01:给域名添加一个 DNS TXT 记录。
http01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件。
tls-sni01:在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件。
申请通配符证书,只能使用 dns验证的方式
概念都是抄来的,主要是不想通过域名管理的DNS TXT记录值获取证书。搜到的资料比较少,所以自己找了并整理了一下。
# 安装git并下载acme源码
yum -y install git
cd /opt
mkdir acme
cd acme
git clone https://github.com/letsencrypt/letsencrypt
下的比较慢可以用链接下载:https://pan.baidu.com/s/1COFa2S2x_MR6wkY_fg1vIg
提取码:i72c
关于webroot
certbot提供了两种安装配置方式:
webroot 在已存在的Nginx上配置https
standalone certbot帮助创建带https的Nginx
# 获取证书
1 standalone nginx 证书 需要服务器上的80端口不被占用 否则会报下面的错
cd letsencrypt
./certbot-auto certonly --standalone --email hugo.xu@pdabc.com -d pdtest.aircourses.com
出现提示按照提示填写信息,有A选A,有Y选Y
关闭nginx 之后 再次执行 生成了证书
证书位置
已申请的证书会放在 /etc/letsencrypt/archive下,而/etc/letsencrypt/live是指向最新版本的符号链接。web server中关于证书的配置建议指向live目录下的文件,以免证书更新后还需要更改配置。
每个域名一个目录,主要包含以下几个文件:
cert.pem 申请的服务器证书文件
privkey.pem 服务器证书对应的私钥
chain.pem 除服务器证书外,浏览器解析所需的其他全部证书。比如根证书和中间证书
fullchain.pem 包含服务器证书的全部证书链文件
配置好nginx证书之后 证书提示也是安全的 注意开启防火墙
证书配置参考
https://www.cnblogs.com/hupeng1234/p/9614231.html
2 webroot nginx 证书 适用于在生产上已经安装了nginx的情况
cd letsencrypt
#./certbot-auto certonly --webroot --agree-tos -v -t --email 邮箱地址 -w 网站根目录 -d 网站域名
./certbot-auto certonly --webroot --agree-tos -v -t --email hugo.xu@pdabc.com -w /ftp/www/ -d pdtest.aircourses.com
# 更新证书测试证书的有效期是否变更
./certbot-auto renew --force-renew
# 查看证书有效时间
openssl x509 -in fullchain.pem -noout -dates
# renew之后
# 证书检测地址
https://www.ssllabs.com/ssltest/analyze.html?d=pdtest.aircourses.com&latest
# 如果需要定时更新证书 可以在定时任务里填写傻瓜式脚本
0 0 1 * * root sh /root/ certbot-auto renew --force-renew && nginx -s reload >/dev/null 2>&1
参考
https://www.jianshu.com/p/c6f6f277a23d
https://www.cnblogs.com/hupeng1234/p/9614231.html
centos7使用letsencrypt获取免费https证书相关推荐
- 使用letsencrypt获取免费https证书步骤
//letsencrypt相关命令 apt-get update apt-get install software-properties-common add-apt-repository unive ...
- Apache2获取免费https证书并定时更新
Apache2获取https证书并定时更新 一.获取Let's Encrypt证书 准备工作 获取证书 二.配置证书 前置条件 证书路径配置 开启重写模块(看个人需要) 配置https强制跳转(看个人 ...
- 七步生成免费HTTPS证书
使用Let's Encrypt + Nginx生成免费HTTPS证书 Let's Encrypt简介 官网:https://letsencrypt.org/ Let's Encrypt作为一个公共且免 ...
- 教你快速撸一个免费HTTPS证书
摘要: 免费 HTTPS 证书,了解一下? HTTPS 已成为业界标准,这篇博客将教你申请Let's Encrypt的免费 HTTPS 证书. 本文的操作是在 Ubuntu 16.04 下进行,使用 ...
- K8s 中使用 cert-manager 申请免费 Https 证书
K8s 中使用 cert-manager 申请免费 Https 证书 Intro 最近在尝试将自己的应用从自己用 kind 部署的一个 k8s 集群迁移到 Azure 的 AKS 上,其中一个问题就是 ...
- 使用certbot工具制作免费https证书
使用certbot工具制作免费https证书 1 概述 为站点添加https是优化提升的一部分工作,本文介绍使用certboot工具制作免费的https证书. https面向的对象:域名 2 资源说明 ...
- 自动获取/更新HTTPS证书并实现Nginx代理WSS协议
自动获取/更新HTTPS证书以及实现Nginx代理WSS协议 如果说我比别人看得更远些,那是因为我站在了巨人的肩上-–牛顿 有了轮子就会事半功倍,此篇文章就是站在巨人的肩膀上做一个简单的总结. 自动获 ...
- 免费https证书(泛域名的,自动续期)
实现目标:免费https证书,是泛域名的!泛域名的!就是*.baidu.com这种,内置自动续期!自动续期! certbot certbot 免费泛域名证书的生成,容器启动自动生成,容器自动证书自动续 ...
- let‘s encrypt免费https证书(certbot)
let's encrypt免费https证书(certbot) 准备工作 访问let's encrypt官网 具体配置步骤 第一步,以具有 sudo 权限的用户身份通过 SSH 连接到运行您的 H ...
最新文章
- android 画板菜单,Android画板实现
- 力特usb转232驱动程序下载_毕亚兹 USB转RJ45网线接口USB扩充口,特殊时期在家办公更轻松...
- Redis命令——Keys相关
- SQL Server 中的事务和锁(三)-Range S-U,X-X 以及死锁
- 报错:The method xxxof type xxx must override or implement a supertype method
- A small tip to explore how to call a method of a control
- 更改应用程序图标_苹果更新 TestFlight 应用图标,增加更多拟真细节
- Linux基础:linux网络接口
- navicat黑色_“黑色星期五”之SQL浅析
- 尚硅谷大数据hadoop教程
- python词云制作(最全最详细的教程)
- 程序员52个堪称神器的学习网站,每天坚持一小时,让你受益一生
- ELK抓取AWS-ELB日志的logstash配置文件
- java itext pdf 添加页码
- Redisson封装及应用实例
- 今日头条,今日特卖自媒体号如何申请。
- HCNP-路由交换:GRE(通用路由封装协议)
- Apache Druid LoadData 任意文件读取漏洞
- 我又被当当骗了!!!
- 大数据周会-本周学习内容总结06