阿里云centos环境之Let's Encrypt SSL证书配置<十一>

最新推荐文章于 2024-08-16 15:07:33 发布
最新推荐文章于 2024-08-16 15:07:33 发布
阅读量6.2k 收藏 4
点赞数 1
分类专栏: 阿里云
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/achenyuan/article/details/79021340
版权

阿里云centos环境之Let's Encrypt SSL证书配置<十一>

1.目标

Let's Encrypt是国外一个公共的免费SSL项目。这里记录的是可执行的生成免费SSL证书Let’s Encrypt证书的过程。是手动配置的的流程。Python版本要求是2.7以上。

Python版本查看:

python -V

结果是:Python 2.7.5


操作系统信息查看: 

cat /etc/redhat-release
结果是:CentOS Linux release 7.4.1708 (Core) 

2.证书生成

进入/home/soft/ssl目录。没有目录的可自行创建。

执行命令

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --manual -d cas.zjclxny.com --email chenyuan122912@sina.com
其中最后一条命令:“--manual”是指定手动配置。"-d"指定域名,“--email”指定我的邮件,用户接收Let's Encrypt的邮件通知。


执行结果如下:


1.Are you OK with your IP being logged?

填“Y”

2.

-------------------------------------------------------------------------------
Create a file containing just this data:

qrRbH9D69MdgXfBiNCPXKFaBw_-3nT0OJ-cpzMfUIh8.Dbly8kd-5TCo6km7-P5pyqBAeX70VPxt-UA2d9OrJCc

And make it available on your web server at this URL:

http://cas.zjclxny.com/.well-known/acme-challenge/qrRbH9D69MdgXfBiNCPXKFaBw_-3nT0OJ-cpzMfUIh8

确保访问http://cas.zjclxny.com/.well-known/acme-challenge/qrRbH9D69MdgXfBiNCPXKFaBw_-3nT0OJ-cpzMfUIh8域

名有访问到值。不论你用什么技术做服务器。(当然必需在生成证书的服务器上)

这里可以使用nginx做代理服务器,端口是80,这个“.well-known/acme-

challenge/qrRbH9D69MdgXfBiNCPXKFaBw_-3nT0OJ-cpzMfUIh8”目录需要自己创建,内容就

是“qrRbH9D69MdgXfBiNCPXKFaBw_-3nT0OJ-cpzMfUIh8.Dbly8kd-5TCo6km7-P5pyqBAeX70VPxt-UA2d9OrJCc”。每

次生成证书这些值都不一样的。

其实只要在指定服务器上,能正常访问url即可。使用什么做web服务器都可以。


3.证书位置

所有版本已申请的证书放在 /etc/letsencrypt/archive下,/etc/letsencrypt/live是指向最新版本的符号链接。web server中关于

证书的配置建议指向 live 目录下的文件,以免证书更新后还需要更改配置。

每个域名一个目录,主要包含以下几个文件:

cert.pem 申请的服务器证书文件

privkey.pem 服务器证书对应的私钥

chain.pem 除服务器证书外,浏览器解析所需的其他全部证书,比如根证书和中间证书

fullchain.pem 包含服务器证书的全部证书链文件

证书申请成功后会提示证书的文件路径,以及证书到期时间

证书申请有频率限制

1.注册IP限制:每IP每3个小时不超过10次

2.域名数量限制:每个域名(包含子域名)每7天不超过5个

英文好的可直接参考官网限制说明:官网证书申请限制

4.证书安装

4.1.配置Nginx

1)生成2048位 DH parameters 
sudo openssl dhparam -out /etc/ssl/certs/dhparams.pem 2048
结果如下:

说明生成成功。

2)修改nginx.conf 
server {

    listen 443 ssl;

    server_name www.saxieyu.com;

    ssl_certificate /etc/letsencrypt/live/www.saxieyu.com/fullchain.pem;

    ssl_certificate_key /etc/letsencrypt/live/www.saxieyu.com/privkey.pem;

    ssl_dhparam /etc/ssl/certs/dhparams.pem;

    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

    ssl_prefer_server_ciphers  on;

    ……

}
说明:
listen 443 ssl:开启443端口监听
ssl_certificate:包含服务器证书的全部证书链文件
ssl_certificate_key:私钥的位置
ssl_dhparam:上面生成的 2048位 DH parameters位置
ssl_ciphers:2048位 DH parameters里的值
ssl_prefer_server_ciphers为on表示开启

配置 http 强制跳转到 https: 
server {

    listen 80;

    server_name www.saxieyu.com;

    return 301 https://$server_name$request_uri;

}
如果不这样设置会报

400 Bad Request

The plain HTTP request was sent to HTTPS port
错误。

重启nginx。在sbin目录 下执行“./nginx -s reload”。如果提示提示“nginx: [emerg] the "ssl" parameter requires ngx_http_module”错误,是因为nginx缺少http_ssl_module模块.
1.如果想重新安装nginx
生成makefile,编译模块指定如下: 
./configure
--with-pcre=/usr/local/pcre-8.39
--with-zlib=/usr/local/zlib-1.2.11
--with-openssl=/usr/local/openssl-1.0.1t
--with-http_stub_status_module 
--with-http_ssl_module
2.如果已经安装好nginx,不想重新安装
进入/usr/local/nginx/sbin/目录,执行 
./nginx -V
查看目前已经安装的模块。

由于我已经安装了http_ssl_module模块,所以显示的比较多。

2.1)如果编译的源码存在的情况下,比如nginx-1.13.6,只要进入源码目录,执行 
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
将http_ssl_module模块编译到现在模块中
执行 
make
执行完毕后,不要进行make install,否则就是覆盖安装
然后备份原有已安装好的nginx
1.将整个/usr/local/nginx目录备份
2.杀死nginx进程,使用kill命令
3.进入源码目录nginx-1.13.6
执行 
cp -r ./objs/nginx /usr/local/nginx/sbin/
4.再查看nginx已经安装的模块 
./nginx -V
2.2如果源码已经删掉
1) 再查看nginx已经安装的模块 
./nginx -V
2)解压nginx-1.13.6.tar.gz 
tar -zxvf nginx-1.13.6.tar.gz
进入目录

3)将已经安装的模块也编译一下 
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --这里填入已经安装过的模块
4)执行完毕后,不要进行make install,否则就是覆盖安装,然后备份原有已安装好的nginx,将整个/usr/local/nginx目录备份
5).杀死nginx进程,使用kill命令
6).进入源码目录nginx-1.13.6
执行 
cp -r ./objs/nginx /usr/local/nginx/sbin/
7).再查看nginx已经安装的模块 
./nginx -V
最后重启nginx。
结果如下:


已经变成https协议了。完整配置如下:

nginx.conf
 
#user  nobody;
worker_processes  4;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    include      vhost/*.conf;
    default_type  application/octet-stream;

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    gzip on;
    gzip_min_length  1k;
    gzip_buffers     4 16k;
    gzip_http_version 1.1;
    gzip_comp_level 2;
    gzip_types     text/plain application/javascript application/x-javascript text/javascript text/css application/xml application/xml+rss;
    gzip_vary on;
    gzip_proxied   expired no-cache no-store private auth;
    gzip_disable   "MSIE [1-6]\.";

}
vhost目录下子配置如下clxny.conf: 
 #服务器的集群  
    upstream  cas.com {  #服务器集群名字   
        server    www.xxxxny.com:8184;#服务器配置   weight=1是权重的意思,权重越大,分配的概率越大。  
        server    www.xxxxny.com:8182;
        server    youka.xxxxny.com:8185;
        ip_hash;  
    }

    server {
        listen 443 ssl;
        server_name  cas.xxxxny.com;
	return 301 https://$server_name$request_uri;
        #charset koi8-r;
	#	root /usr/local/www/xny/;
        #access_log  logs/host.access.log  main;
	ssl_certificate /etc/letsencrypt/live/cas.zjclxny.com/fullchain.pem;
    	ssl_certificate_key /etc/letsencrypt/live/cas.zjclxny.com/privkey.pem;
   	ssl_dhparam /etc/ssl/certs/dhparams.pem;
    	ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-EXXX...XXX:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    	ssl_prefer_server_ciphers  on;
		ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
		ssl_session_cache shared:SSL:10m;
		ssl_session_timeout 10m;
                                                                                                                                      	
		location / {
            #proxy_pass http://netitcast.com;
            #proxy_set_header Host $http_host;
            #proxy_set_header X-Real-IP $remote_addr;
            #proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
			root /usr/local/www/xny;
			index  index.html index.htm;
        }

        location = /50x.html {
            root   html;
        }
		
		
		
		location /app/ {
            proxy_pass http://cas.com;
            proxy_set_header Host $http_host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
			#root /usr/local/www/xny;
			index  index.html index.htm;
        }
    }

4.2 tomcat证书安装

由于上面做了负载均衡,当访问80端口时会自动跳转到443端口。因此,在nginx上安装了ssl证书后,就不需要在tomcat上安装了。相当于nginx做了代理访问,对外。而tomcat只是做为web容器,对内。

5.在线测试证书正确性

5.1证书详情:

5.2使用ssllabs测试证书正确性

证书完全OK
或者ssl验证工具 中文版本的哦



6.Let's Encrypt免费SSL证书续期

./certbot-auto renew
 只用renew的话,会先检查证书是否需要更新,大概是距离到期还有三天或者十几天之内才会执行更新,否则会提示不需要更

新。 (昨天更新了证书,今天直接用renew,提示不允许更新)

定时器更新 
0 0 1 * * /home/soft/ssl/letsencrypt/certbot-auto renew>>/home/soft/ssl/letsencrypt/log.txt









补充:

Nginx 配置Http和Https共存

server {
            listen 80 default backlog=2048;
            listen 443 ssl;
            server_name wosign.com;
            root /var/www/html;
  
            ssl_certificate /usr/local/Tengine/sslcrt/ wosign.com.crt;
            ssl_certificate_key /usr/local/Tengine/sslcrt/ wosign.com .Key;
        }
ssl写在443端口后面。这样http和https的链接都可以用




参考文章:

Let's Encrypt SSL证书配置

免费SSL证书Let’s Encrypt安装使用教程:Apache和Nginx配置SSL


陈袁
关注
专栏目录
使用Let's-Encrypt配置SSL证书
风破
05-18 2086
1. 安装 Certbot Let’s Encrypt 证书生成不需要手动进行,官方推荐 certbot 这套自动化工具来实现。 Nginx on CentOS/RHEL 7 Certbot is packaged in EPEL (Extra Packages for Enterprise Linux). To use Certbot, you must first enable the...
腾讯云Centos7 使用Let‘s EncryptSSL证书
代码小白的博客
09-17 366
1.安装acme.sh curl https://get.acme.sh | sh 2.生成证书(前置) 找到你要配置的项目根目录: /mnt/php/test 注意:必须要在nginx配置使得你的.well-konwn下的文件可以访问 生成证书命令: acme.sh --issue -d php.tomcat97.cn -w /mnt/php/test 生成.well-known文件 生成的证书位置: /root/.acme.sh/php.tomcat97.cn/ 成功的话会有ca.cer n
Alibaba Cloud Linux 使用 Let‘s Encrypt 设置 SSL 证书
mingjunlintian的博客
09-07 469
配置免费的ssl
Let’s Encrypt生成免费SSL证书
最新发布
huchao_lingo的博客
08-16 1009
Let's Encrypt获取免费的SSL证书
SSL、HTTPS】Let‘s Encrypt 使用教程,免费的 SSL 证书,让你的网站拥抱 HTTPS
不纯正的逼格的专栏
12-21 1629
Let’s Encrypt 已经得了 IdenTrust 的交叉签名,这意味着其证书现在已经可以被 Mozilla、Google、Microsoft 和 Apple 等主流的浏览器所信任,你只需要在 Web 服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let’s Encrypt 安装简单,使用非常方便。在我们使用 HTTP 的时候,打开网页总会遇到第三方偷偷加的一些脚本广告,很是烦人,升级 HTTPS 后他们就无从下手了,欧耶。–post-hook 执行更新操作完成后要做的事情。
Let's Encrypt 申请ssl证书
qq_20376949的博客
12-19 245
1.安装acme.sh https://github.com/acmesh-official/acme.sh/wiki/%E8%AF%B4%E6%98%8E curl https://get.acme.sh | sh 在该脚本的安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中: ~/.acme.sh/ 安装完后执行acme.sh,如果提示命令没找到,执行下列命令 sour...
let‘s encrypt:基于阿里云的certbot生成免费HTTPS证书
m0_60125201的博客
04-15 1715
本博客利用let's encrypt申请更新了阿里云域名证书,使用的是let's encrypt推荐的certbot将域名从http更新到了https。
CentOS7-Nginx配置Let‘s-Encrypt-SSL证书
职场亮哥
11-09 370
Let's-Encrypt 为http站点添加https支持,需要从证书发行机构获取SSL/TLS 证书。常见的免费证书有两种: Let's-Encrypt,本文即将介绍,Let's-Encrypt大法好。 caddy,原生支持 HTTP/2,自动创建 Let’s Encrypt 证书,非常简单易用。 安装 yum install epel-release -y yum install certbot -y 配置 certbot certonly --webroot -w /ww
centos 下安装 Let’s Encrypt 永久免费 SSL 证书
MrChangChang的博客
10-05 1700
功能 https证书,免费版,每三个月续签一次,可以用过脚本自动续签 安装 ssh登录到域名配置所在的主机(nginx,apache等) 安装git yum -y install git 输入 git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt chmod x letsencrypt-auto 安装证书...
let‘s encrypt免费https证书(certbot)
qq_39168874的博客
09-23 4271
let's encrypt免费https证书(certbot)准备工作访问let's encrypt官网具体配置步骤第一步,以具有 sudo 权限的用户身份通过​​ SSH 连接到运行您的 HTTP 网站的服务器第二步,安装 snapd第三步,确保您的 snapd 版本是最新的第四步,删除 certbot-auto 和任何 Certbot OS 包第五步,安装证书第六步,设置Certbot软链接第七步,生成证书第八步,测试自动续期第九步,配置nginx 准备工作 centos服务器 nginx部署站点
阿里域名申请 ​ Let‘s Encrypt SSL 证书
ZCF1024 的后宫
05-17 2239
阿里域名申请 ​ Let‘s Encrypt SSL 证书
关于使用Let's Encrypt开启阿里云服务器HTTPS证书
Supper_Hero的博客
03-27 1912
关于Let’s Encrypt Let’s Encrypt 作为一个公共且免费 SSL 的项目逐渐被广大用户传播和使用,是由 Mozilla、Cisco、Akamai、IdenTrust、EFF 等组织人员发起,主要的目的也是为了推进网站从 HTTP 向 HTTPS 过度的进程,目前已经有越来越多的商家加入和赞助支持。 Let’s Encrypt 免费 SSL 证书的出现,也会对传统提供付费 SS...
linux let s证书续期,详解一个Let's Encrypt免费又好用的证书
weixin_36310396的博客
05-15 194
Let's Encrypt免费又好用的证书,废话不多说。假设我的域名为:163.org1、克隆代码git clone https://github.com/letsencrypt/letsencrypt    # 没有git的先安装git# yum install git# apt-get install git2、安装cd letsencrypt./letsencrypt-auto certon...
Tomcat 配置SSL证书
小二来一只葫芦
07-06 1520
申请证书后,会下载以下文件: 只需要使用: ①xxx.xxx.xx.crt ②xxx.xxx.xx.key 用当前文件夹进入cmd: 输入openssl pkcs12 -export -in xxx.xxx.xx.crt -inkey xxx.xxx.xx.key -out ssl.p12 会让你输入和文件匹配的密码 在tomcat文件夹建立一个ssl文件,把ssl.p12放入; 再进入tomcat的conf文件夹,对server.xml 配置如以下: <Connector port=.
nginx修复-----SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
一个杯子的博客
04-07 4181
需编辑 nginx.conf 解决。 1、生成 dhparams.pem。 cd /usr/local/nginx/conf openssl dhparam -out dhparams.pem 2048 chmod -R 755 dhparams.pem 2、编辑 nging.conf 文件,添加 ssl_dhparam {path to dhparams.pem} 。 ssl_dhparam /usr/local/nginx/conf/dhparams.pem; 3、openssl查看版本 #openss
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)
分享型博主
07-26 7087
文章来自一份绿盟安全评估中的服务器漏洞扫描分析结果,据市场研究公司Gartner研究报告称“实施漏洞管理的企业会避免近90%的攻击”。可以看出,及时的漏洞修补可以在一定程度上防止病毒、攻击者的威胁。这个报告是合作单位的服务器安全评估出来的,帮忙协助处理下,希望对看到的小伙伴有所帮助,有问题咱们一起讨论实践哦。
HAproxy1.8 版本配置MinIO SSL出错解决方案
MinIO
12-17 406
etc/haproxy/haproxy.cfg 首先,您将使用 实用程序生成一个 dhparams.pem 文件。但是在HAproxy 1.8版以及之前的版本中,证书为.pem 与private key进行合成为一个证书的办法,产生证书。一种选择是根据警告消息在 中明确将 tune.ssl.default-dh-param 值设置为大于 1024 的值。在新的标准中证书为.pem 和 private key 分别设置,由HAproxy进行读取。针对此问题,进行了长达7个工作日的测试,产生此结论。
CentOS7上使用Letsencrypt为Nginx站点配置HTTPS
锐意工作室
06-13 1124
文章目录在CentOS7上使用Letsencrypt为Nginx站点配置HTTPS前言配置过程安装Certbot Let'sencrypt客户端为Nginx站点配置HTTPS验证站点HTTPS证书定时更新Let‘sencrypt SSL证书参考文档Troubleshootingcertbot UnrewindableBodyError 在CentOS7上使用Letsencrypt为Nginx站点配置HTTPS 前言 计划对自己的站点xdevops.cn 配置HTTPS,但是用自签名的SSL证书会被浏览器认为
如何免费获取并安装Let'sEncrypt SSL证书
"这是一个关于如何申请和使用Let's Encrypt免费SSL证书的说明文档。文档中详细介绍了申请过程,包括系统环境准备、Git的安装、Python版本的要求,以及在不同Linux发行版(如Debian和CentOS)上的操作步骤。此外,还...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值