如何用建木CI创建SSL证书并部署到nginx

最新推荐文章于 2024-05-12 15:34:48 发布
最新推荐文章于 2024-05-12 15:34:48 发布
阅读量1.5k 收藏 1
点赞数
文章标签: ssl nginx ci
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jianmu_Dev/article/details/122672410
版权

介绍

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,为了解决HTTP协议的这一缺陷,需要给http加上证书使之升级成为:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

自己和用户之间的信息怎么能被别人偷听呢,所以我们要为自己的网站添加一层“保护罩”(SSL/TSL)

在这里插入图片描述

这时你就可以选择建木CI提供的解决方案:使用acme-ssl节点快速为自己的网站添加“保护罩” !

在这里插入图片描述

目前acme-ssl节点支持阿里云作为DNS服务解析商的域名创建证书,后续会加上华为云,腾讯云等。

申请域名

要向ca申请证书,首先我们得有属于自己的域名,目前支持阿里云作为DNS解析商,所以我们得向阿里云购买域名

为自己的域名申请证书

使用建木CI编排acme-ssl节点为自己的域名申请证书,关于如何安装,使用建木CI以及建木CI的相关概念的介绍,在这篇博客中写得比较详细: 基于建木CI部署maven项目 ,欢迎大家前去围观

006Mi9iRgy1grrc486m5jg308c08c74u.gif

定义pipeline去申请证书,

name: acme-ssl
description: acme-ssl的pip
​
pipeline:
acme_sh:
  type: "acme_ssl_aliyun:1.0.2"
  param:
     # 为哪个域名申请证书
    domain: "*.huangxi.asia"
     # 填写自己的email
    email: "1014231151@qq.com"
     # 阿里云的AccessKey, 具体获取方式请参照阿里云官网
    ali_key: ((ali.key))
     # 阿里云的密钥, 具体获取方式请参照阿里云官网
    ali_secret: ((ali.secret))
     # 是否通过公共dns进行检查. 若为true, 则等待20秒, acme.sh将使用cloudflare公共dns或google dns检查记录是否生效。
     # 若参数为false, acme.sh将等待10秒,啥事也不干,在测试阶段,我们将此值置为false,就不用去公共dns检查了
    dns_check: false
     # 选择CA机构,支持的ca,可为letsencrypt、letsencrypt_test、buypass、buypass_test、zerossl、sslcom。
     # 默认为zerossl,并且buypass、buypass_test、sslcom为收费的CA机构
    ca: "zerossl"
 # 以下为两个节点是复制数据节点,目的在于将生成的私钥和证书到我们的服务器中    
scp_cert:
  type: scp_resouce:1.1.0
  param:
     # 目标服务器的主机ip
    ssh_ip: xxx.xxx.xxx.xxx
     # 服务器私钥
    ssh_private_key: ((xxx.server_private_key))
     # 同步到目标服务器的哪个文件夹, 如果目标服务器无此文件夹,会自动创建并同步
    remote_file: /tmp/hx/fullchain.cer
     # 将哪个文件同步到服务器,这里将证书同步到服务器
    local_file: ${acme_sh.cer_path}
scp_key:
  type: scp_resouce:1.1.0
  param:
    ssh_ip: xxx.xxx.xxx.xxx
    ssh_private_key: ((xxx.server_private_key))
     # 这里将私钥同步到服务器
    remote_file: /tmp/hx/*.huangxi.asia.key
    local_file: ${acme_sh.key_path}

将流程dsl复制到建木CI中,开始跑流程,而我们就等待acme-ssl节点为我们申请证书吧

在这里插入图片描述

经过等待,流程已经全部跑通

在这里插入图片描述

来到虚拟机,查看复制过来的证书和私钥,此时的心情,一个字,爽歪歪~

在这里插入图片描述

0073Cjx6gy1gwbfdvtzd3g306e06edjf.gif

将证书私钥部署到服务器上

拿到证书和私钥后,我们就可以将它们部署到我们的服务器上了,这里使用nginx作为我们的web容器

  • 安装nginx

    [root@huangxi ssl]# yum -y install nginx

  • 查看nginx的位置,我们nginx启动的二进制文件位于/usr/sbin/nginx,配置文件位于/etc/nginx/nginx.conf

    [root@huangxi ssl]# whereis nginx
nginx: /usr/sbin/nginx /usr/lib64/nginx /etc/nginx /usr/share/nginx /usr/share/man/man3/nginx.3pm.gz /usr/share/man/man8/nginx.8.gz

  • 启动nginx

    [root@huangxi ssl]# nginx

  • 修改nginx的配置文件

    # 在http快中添加如下配置
server {
   # 开启ssl 443端口监听
   listen       443 ssl;
   # 对应的域名,把*.huangxi.asia改成你们自己的域名就可以了
   server_name *.huangxi.asia;

   # 配置从acme-ssl节点获取到证书路径
   ssl_certificate     /tmp/hx/ssl/fullchain.cer;
   # 配置从acme-ssl节点获取到私钥路径
   ssl_certificate_key /tmp/hx/ssl/*.huangxi.asia.key;
​
   ssl_session_cache   shared:SSL:1m;
   ssl_session_timeout 5m;
​
   ssl_ciphers HIGH:!aNULL:!MD5;
   ssl_prefer_server_ciphers on;
​
   location / {
       root   html;
       index index.html index.htm;
   }
}
​
server{
   listen 80;
   server_name huangxi.asia;
   # 即使访问80端口也给他重定向到443端口
   rewrite ^/(.*)$ https://*.huangxu.asia:443/$1 permanent;
}

  • 验证nginx配置文件的配置正确与否

    [root@huangxi nginx]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

  • 重新加载nginx配置文件

    [root@huangxi nginx]# nginx -s reload

测试证书是否生效

打开我们的浏览器,输入www.huangxi.asia (这个地方输入自己的域名)

image-20211230153437146.png

在这里插入图片描述

如上图我们访问到了nginx的默认欢迎页面,可以看到是使用https协议访问,并且证书是有效的,至此我们成功的为自己的网站添加了一层“保护罩”

在这里插入图片描述

本文为建木博主「Freedom」的原创投稿文章,转载请联系授权。

项⽬官⽹:https://jianmu.dev

项⽬托管:https://gitee.com/jianmu-dev

项⽬文档:https://docs.jianmu.dev

在线体验:https://ci.jianmu.dev

Jianmu_Dev
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx终极档案
02-20
Nginx是一款轻量级的Web服务器和反向代理服务器,以其高稳定性、高性能和资源占用少的特点而受到广大用户的青睐。它不仅可以直接支持Rails和PHP程序,还能作为HTTP反向代理服务器、负载均衡服务器以及邮件代理服务器...
如何用CI前端E2E质量自查
Jianmu_Dev的博客
08-05 378
作为一个产品线的程序猿,是否每天都会面对很多mr和pr呢?其中code review是不可或缺的一环,但是大家想想如果能在code review之前就能自动检测整个系统,将测试结果作为依据,那么review环节就能准确找到问题所在。所以将E2E功能测试加入mr或pr流程是有必要的。...
「前端CI/CD系列」第三篇:如何用CI前端项目并部署到CDN
Jianmu_Dev的博客
03-08 1004
在上一篇如何用CI更新七牛云CDN证书文章里,我们已经成功将七牛云上的资源外链放在了指定域名下,并且将外链的协议升级成了https。这次我们再利用CI干点更有意义的事吧。 对前端开发的小伙伴来说,写完一个项目,最大的价值体现是将自己的劳动成果发布到线上去,让更多的人了解使用。那么这里必定会涉及到的一个步骤便是项目的打包部署,但对于一些刚入行的小伙伴来说,相关的服务器知识,比如linux跟nginx,可能会相对陌生;如果此时团队中又没有经验丰富的人带着去完成,只会更加捉襟见肘。但好消息是现在有了咱们
推荐一款好用的CI/CD工具,快速构项目,可视化配置流程(带私活源码)
最新发布
m0_68103666的博客
05-12 553
一个面向DevOps领域的极易扩展的图形化工具,帮助用户轻松编排各种DevOps流程并分发到不同平台执行。
「开源人的福音」一键部署Java构件到Sonatype
Jianmu_Dev的博客
05-30 221
介绍 作为一个java开发人员,我相信大家都有这样的需求,将自己的构件(例如jar包)部署到中央仓库,以便与其他开发人员和项目共享。如果我们使用maven作为java项目管理工具,通常我们的做法大致有以下几步: 在项目pom里面配置相关的远程仓库信息以及一些必要的插件 在setting.xml里配置远程仓库的账号密码 使用gnupg生成公私钥对部署的文件进行签名 看整个过程显得冗长复杂,但是现在大家不用担心,因为CI给大家提供了节点去完成这一系列的事情,只需要一些声明式的配置,即可大大缩短配置jav
基于Springboot+Vue的酒店管理系统!新鲜出炉,可商用,带源码
m0_68103666的博客
03-29 315
新年了给大家分享一套的源码,在实际项目中可以直接复用。
如何用CI导入导出MySQL数据
Jianmu_Dev的博客
01-14 181
大家平时都是怎么迁移MySQL数据的呢?今天一起来看看,用CI导入导出MySQL数据有多么快捷简单~!
Centos搭PHP5.3.8+Nginx1.0.9+Mysql5.5.17详细配置
09-15
LOCAL_INFILE=1 -DMYSQL_UNIX_ADDR=/tmp/mysql.sock -D large_files=1 -DTHREAD_STACK=192K -DDEFAULT_CHARSET=utf8 -DDEFAULT_COLLATION=utf8_general_ci make && make install ``` 4. **配置MySQL**: 初始化...
ASP.NET Core应用程序部署至生产环境中(CentOS7)
12-14
sudo mkdir -p /opt/dotnet && sudo tar zxf dotnet.tar.gz -C /opt/dotnet sudo ln -s /opt/dotnet/dotnet /usr/local/bin 输入 dotnet –info 来查看是否安装成功 配置Nginx 下载安装Nginx,单步执行如下命令:...
Centos7.9安装zabbix6.0LTS版
02-25
然后,创建 Nginx 用户和用户组: ``` groupadd -f nginx useradd -g nginx nginx ``` 接下来,安装必要的依赖包: ``` yum install gcc pcre-devel openssl-devel ``` 下载 Nginx 1.20.2 版本的源码包,并解...
云商城(带php后端).zip
05-12
可选地,可以使用 CI/CD 工具实现持续集成和持续部署,以自动化部署流程,提高部署效率和代码质量。 在整个开发和部署过程中,需要编写详细的文档,包括需求文档、设计文档、部署文档、用户手册和开发文档,以便...
Let's Encrypt官网一键式免费申请ssl证书脚本
08-30
Let's Encrypt官网一键式免费申请ssl证书脚本, 使用方法是放到linux环境下, 给出执行权限rwx即可 chmod -R 700 certbot-auto , 之后./certbot-auto执行, 过程中会让你选择apache(1)还是nginx(2), 之后还会让你输入域名, 可以在测试服务器上运行试试, 这是截止到20190830最新版本 好像不能免币下载,
如何用CI一键部署Java构件到Nexus
Jianmu_Dev的博客
06-06 699
继上一篇博客「开源人的福音」一键部署Java构件到Sonatype发布后,得到了很多小伙伴们的关注,我趁热打铁推出了它的姊妹篇,有别于上一篇,此篇博客介绍了如何将java构件部署到私服。
「Gitee篇」如何用Git平台账号登录CI
Jianmu_Dev的博客
08-08 1652
自v2.5.2版本开始,CI可以使用Git平台的账号进行登录了,这篇文章我们以Gitee为例,给大伙讲讲如何配置,使用第三方的Git平台登录CI
如何用CI/发布Hub节点定义版本
Jianmu_Dev的博客
01-10 506
事情是这样的,作为一名热爱工作的程序员,定期检查系统服务是我的日常,并且还要将检查结果发送邮件给同事。这事情虽然简单,但是确实有点繁琐,真是脑壳痛 刚好最近正在使用CI,里面的任务都是通过一个一个节点来执行的,突然想到????,我把检查任务和发送邮件的任务写成两个节点,再加个Trigger定时执行不就行了吗!然后不就可以心安理得的摸个鱼了吗???? 说干就干,开始查看CI官方文档 文档:https://docs.jianmu.dev 找到了自定义节点的文档: 以发送邮件的节点为例,接下
持续集成平台v1.0.0发布
Jianmu_Dev的博客
10-07 348
持续集成平台是基于自动化平台提供的国产开源CI/CD产品,致力于为国内开发者提供简单易用、方便快捷的开发体验,推广DevOps的最佳实践,填补国内开源软件供应链中缺失的一环。 持续集成平台v1.0.0现已发布 主要功能: 事件桥接器:提供外部系统触发流程执行的事件桥接转换机制,当前只支持Webhook方式调用。 配置即代码:提供两种不同的DSL语法来描述配置CI/CD流程。同时支持本地创建和远程Git导入两种方式来创建项目,可以支持GitOps的最佳实践。 流程可视化:提供CI/CD流程的可视
基于CI部署maven项目
Jianmu_Dev的博客
12-07 1602
​1. 前置准备工作 使用环境: 测试环境: 操作系统:Centos7 cpu:四核 内存:4G docker版本:20.10.8 CI版本:v2.0.0 2. 如何安装CI 使用docker-compose的方式来进行部署,关于docker-compose的详细使用方式说明可以参考docker官方文档:https://docs.docker.com/compose/ 下载CI的docker-compose文件: wget https://gitee.com/jianmu-dev
Let's Encrypt全自动化配置https的shell脚本
a807719447的专栏
10-01 1581
脚本可能有点缺陷,如有不足之处请指正,比如如果系统已经通过其它渠道安装过nginx并且没有配置命令这时候可能会出错 最好的条件就是干净的系统下直接运行该脚本哦 #!/bin/bash #author yaozhongjie echo "=======================Let's Encrypt环境准备======================================...
内网ip ssl证书nginx部署
10-12
要在内网上部署使用 SSL 证书Nginx,你需要执行以下步骤: 1. 获取 SSL 证书:从可信任的证书颁发机构(CA)获取 SSL 证书。你需要提供你的域名和其他必要的信息,并根据 CA 的要求完成验证流程。一旦通过验证,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值