自由的SSL证书 要不要

最新推荐文章于 2024-09-08 19:07:47 发布
最新推荐文章于 2024-09-08 19:07:47 发布
阅读量1.9k 收藏
点赞数
分类专栏: https 文章标签: https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vbaspdelphi/article/details/53098479
版权

最近调研SSL,对于自由的SSL证书打算研究下,于是有了这篇。

之所以叫自由,因为不喜欢免费,因为免费总感觉要付出代价。

获取 letsencrypt SSL证书

参考:
https://imququ.com/post/letsencrypt-certificate.html

# 创建一个目录
mkdir /root/ssl

# 创建一个RSA私钥
openssl genrsa 4096 > account.key

# 创建另一个RSA私钥
openssl genrsa 4096 > domain.key

#创建ECC私钥
openssl ecparam -genkey -name secp256r1 | openssl ec -out domain.key
openssl ecparam -genkey -name secp384r1 | openssl ec -out domain.key

#生成CSR文件,有两种方式,我用的是第二种,但是第一种可以一次多申请几个,可以稍后测试
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr
openssl req -new -sha256 -key domain.key -out domain.csr

注意,记得系统安装yum install openssl

# 配置验证服务,为啥要这么说呢,因为letsencrypt给的也是DV,也就是域名验证,我们运行软件申请的时候,本身python脚本会在本地写一个随机数到一个随机文件,它们官方会从远端经过公网DNS解析并去获取这个文件,如果一致,就说明这个站点是我们的,也就可以申请证书了。
mkdir ~/www/challenges/
# 另外,还需要两个步骤,最后会说明为啥要这两个步骤。
mkdir /root/www/challenges/.well-known/ -p
ln -s /root/www/challenges/ /root/www/challenges/.well-known/acme-challenge

# 接下来我们就要下载python脚本,并去申请证书了
wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

# 在执行下面之前,我们可以打开网站,最简单的就是使用python
python -m SimpleHTTPServer 80
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt

# 如果一切正常,我们会看到signed.crt这个就是我们的证书了。

# 另外,我们还需要letsencrypt的中间证书,我也不知道啥意思,反正是需要一个官网的东西
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
cat intermediate.pem root.pem > full_chained.pem

# 其中chained.pem就是我们需要的了

# 配置SSL证书网站
server {
    listen 443 ssl; # 这个SSL相当重要
    server_name soft.ops.ac.cn;

        #设置长连接
        keepalive_timeout   70;
        ssl_certificate     /etc/nginx/ssl/chained.pem;
        ssl_certificate_key /etc/nginx/ssl/domain.key;
        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
        #ssl_ciphers         HIGH:!aNULL:!MD5;

    location / {
        root /data/soft/soft;
        autoindex on;
    }
}

踩到的坑

  • 这个是采用第二种方式生成CSR,注意,hostname那个地方我用了两个,其实这么写不科学
    这里写图片描述

  • 这个地方提示无法下载,其实有两个原因,1. 官方会从国外去解析我们的域名,有时候会有问题,所以这种情况多试几次就好了,再有就是看日志,看http有没有人来拿东西 2. 就是我们的目录没有,注意看提示,脚本虽然是在根目录写,但是取的时候却加入了两个目录,所以之前也有介绍,需要多两个步骤,一个是创建目录,一个是添加软连接
    这里写图片描述

  • 这个地方就是我们使用的内网,会报错,没有一个公网IP地址是不成的
    这里写图片描述

  • 这个地方就是我们在生成CSR的时候,输入方式不对,后来改成只写一个了,其实是可以写多个的,只是我不知道
    这里写图片描述

  • 看个页面,这样就好了么~
    这里写图片描述

  • 如果收到了SSL 接收到一个超出最大准许长度的记录。有可能是nginx中listen 443 后边没有加SSL哦。

 总结

  1. letsencrypt提供的DV验证,另外,Symantec提供的起码是OV,也就是说咱们的这个证书是不会显示出来公司名字的哦
  2. 貌似目前已经提供了ECC,要知道ECC在提供安全性的时候,还减少了证书的大小,会提高效率,具体数字未知
  3. 这个证书只有90天有效期哦,不过可以做到自动化,不过我是在内网使用,所以就不大好搞了,当然也能搞。
LifeSecret
关注
专栏目录
java项目连接sqlserver时报ssl相关错误,如何解决?
**My Coding Family**
04-19 1292
ok,以上就是我这期的Bug修复内容啦,如果还想查找更多解决方案,你可以看看我专门收集Bug及提供解决方案的专栏「Bug调优」,都是实战中碰到的Bug,希望对你有所帮助。到此,咱们下期拜拜。码字不易,如果这篇文章对你有所帮助,帮忙给bugj菌来个,您的支持就是我坚持写作分享知识点传播技术的最大动力。「猿圈奇妙屋」;
esp32在micropython环境下使用ssl/tls连接mqtt服务器出现以下报错Connected on 192.168.154.223发生意外错误: 5无法连接到 MQTT 代理,如何解决?
**My Coding Family**
08-14 711
🏆本文收录于《CSDN问答解惑-专业版》专栏,主要记录项目实战过程中的Bug之前因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!
Linux安装Apache,设置反向代理,配置SSL证书使用https安全协议
LZD30的博客
07-11 1843
一、准备安装软件 1.什么是APR 要测APR给tomcat带来的好处最好的方法是在慢速网络上(模拟Internet),将Tomcat线程数开到300以上的水平,然后模拟一大堆并发请求。如果不配APR,基本上300个线程狠快就会用满,以后的请求就只好等待。但是配上APR之后,并发的线程数量明显下降,从原来的300可能会马上下降到只有几十,新的请求会毫无阻塞的进来。APR对于Tomcat最大的作...
解决访问项目时发生SSL 接收到一个超出最大准许长度的记录。 错误代码:SSL_ERROR_RX_RECORD_TOO_LONG的错误~
m0_64365419的博客
04-27 7495
错误如下所示:
kafka与zookeeper的SSL认证教程
乐维社区的博客
07-11 1804
setAcl / ip:127.0.0.1:cdrwa,auth:kafka:kafka@123:cdrwa #(设置可以登陆的IP和用户账号密码,admin是上面的zk的配置文件里面定义的管理员,Kafka用户是/asop/kafka/kafka_2.11-2.1.0/config/kafka_server_jaas.conf文件里面的定义的kafka连接zk的用户 (Client下面的))/asop/zk/zookeeper-3.4.13/bin/zkCli.sh #进入zk的命令行模式。
tomcat enable ssl
数据之路-忆梦前程
03-02 681
创建key keytool -genkey -alias wsria -keyalg RSA -keystore /usr/src/apache-tomcat-7.0.68/conf/mykey 导出key keytool -export -file /usr/src/apache-tomcat-7.0.68/conf/mykey.crt -alias wsria -keystore
Prestashop 添加SSL时,Enable SSL点击不了
pengchengxue110的专栏
06-23 1112
在保证 SSL 证书是正确的配置时,因为我可以使用 https:// 进行访问后台,只是 Enable SSL 这一项是不可用的。试过有试过删除缓存、开启 Debug、关闭OpCache都是无用的或者试者去数据库配置表中直接修改参数,这样的话访问会出错的。现在只能去查看代码点击 “Please click here to check if your shop supports HTTPS.”这到底...
为Bitbucket 和 Sourcetree 设置SSL认证
menergy
07-22 1116
为Bitbucket 和 Sourcetree 设置SSL认证
群晖NAS的公网、NAT、DDNS、证书等配置二
悦分享
07-08 3039
端口转发设置完成图如下。域名没问题了,但是访问时会出现连接不安全的提示,这是因为没有SSL证书导致的,手机APP也不能使用HTTPS连接,网页访问还会有提示,很烦人,咱们下一步就是去把这个证书申请下来,当然如果不申请也没问题,可以用,只不过用HTTPS访问更加安全一点,毕竟你的设备暴漏在公网内还是有一定风险的。这个源ip地址就是你可以用哪些网络访问,如果你在这里输入的是一个固定ip,比如说1.1.1.1,那么你只能通过公网ip是1.1.1.1的网络下的设备才能访问,其它的ip地址都是访问不了的。
WordPress搭建“外贸独立站”完整操作教程
www25qi的博客
11-03 5984
  以往的文章,我们介绍了很多种搭建独立站的方式,有最省事的Shopify 、最专业的Magento以及最省钱的Wordpress Woocommerce。其中,通过主机托管的方式又分了免费的谷歌云vps主机、1美元Godaddy主机以及SiteGround共享主机三种。建站方法方式实在太多了,有免费的,有廉价的,有商业版的,有共享主机、有云主机主机以及各种各样的vps服务器,选择哪种方式,哪款主机,也只有真正试了才直到。   没错,上述的这些方法方式,无一例外,我都亲身折腾过。从个人实际需求和建站方式来
c++ websocketpp连接币安,有报错,如何解决??
最新发布
**My Coding Family**
09-08 558
如上问题有的来自我自身项目开发,有的收集网站,有的来自读者…如有侵权,立马删除。再者,针对此专栏中部分问题及其问题的解答思路或步骤等,存在少部分搜集于全网社区及人工智能问答等渠道,若最后实在是没能帮助到你,还望见谅!并非所有的解答都能解决每个人的问题,在此希望屏幕前的你能够给予宝贵的理解,而不是立刻指责或者抱怨!如果你有更优解,那建议你出教程写方案,一同学习!共同进步。ok,以上就是我这期的Bug修复内容啦,如果还想查找更多解决方案,你可以看看我专门收集Bug及提供解决方案的专栏。
ESXI申请阿里云SSL证书并配置
Hewitt的博客
09-16 2158
ESXI默认证书在浏览器内访问不受信任并会提示站点不安全,本文从零开始讲解申请阿里云免费SSL证书并替换ESXI默认SSL证书实现可信https访问。 一、申请阿里云免费SSL证书 1、点击进入阿里云SSL控制台并点击购买按钮,在弹出层中选择“单个域名”、“DV域名级SSL”、选择免费证书,开通证书托管服务选择“否”,否则将收取费用,勾选完毕后点击“立即购买”,提交订单。 2、选择已购买的证书,点击“证书申请” 3、填写要申请SSL证书的域名,如实填写申请人...
解决方案:谷歌报-ERR_SSL_PROTOCOL_ERROR,火狐报-SSL 接收到一个超出最大准许长度的记录【ssl_error_rx_record_too_long】
热门推荐
05-30 3万+
错误信息:谷歌报-ERR_SSL_PROTOCOL_ERROR,火狐报-SSL 接收到一个超出最大准许长度的记录【ssl_error_rx_record_too_long】,环境信息:LNMP一键安装包解决方案:修改配置文件 /usr/local/nginx/config/***.com.conf修改server里面的 listen 443;  为  listen 443 default ssl;...
SSL 接收到一个超出最大准许长度的记录。 错误代码:SSL_ERROR_RX_RECORD_TOO_LONG
天上飞的云传奇
11-16 8574
HTTPS server # nginx配置文件 server { listen 443 ssl; server_name wdestian0918.icu; add_header Content-Security-Policy upgrade-insecure-requests; ssl_certificate my.pem; ssl_certificate_key my.key; ssl_session_cach
替换esxi主机SSL证书
em's 笔记簿
04-17 1331
  ESXi主机SSL证书更换   1、生成证书请求文件rui.csr及私钥rui.key   a、创建esxi.cfg文件内容如下:   [ req ]   default_bits = 2048   default_keyfile = rui.key   distinguished_name = req_distinguished_name   encrypt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值