Nginx SSL 证书自动颁发部署教程一条龙

最新推荐文章于 2024-05-17 13:43:46 发布
最新推荐文章于 2024-05-17 13:43:46 发布
阅读量197 收藏 1
点赞数
分类专栏: 后端_杂七杂八 文章标签: nginx 运维 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NidhoogJX/article/details/131231318
版权

Nginx证书自动颁发部署教程一条龙

背景:
最近业务需求搞HTTPS,本着想这就是个证书然后研究了下记录下,网上先查了下,本着能白嫖就白嫖的思路,我们肯定不搞付费SSL证书,但是貌似腾讯云,和阿里云这些都可以申请免费证书,但是都需要备案,于是乎我就查到了 Let’s Encrypt证书

Let’s Encrypt 是一个免费、自动化和开放的证书颁发机构,由非营利性互联网安全研究小组 (ISRG) 提供

嚯,免费的东西我喜欢,但是仔细看了下,申请的证书只有三个月期限,到期后需要重新申请,这就不友好了,当时第一个念头是应该有自动管理的东西,
果然有通过Certbot来管理Let’s Encrypt的证书,使用前需要安装一堆库,觉得不太友好。想找个简单的来使用
acme.sh
一个纯 Shell(Unix shell)语言编写的 ACME 协议客户端。
完整的 ACME 协议实现。
支持 ECDSA 证书
支持 SAN 和通配符证书
简单、强大且非常易于使用。你只需要3分钟就可以学会。
Bash、dash 和 sh 兼容。
完全用 Shell 编写,不依赖 python。
只需一个脚本即可自动颁发、更新和安装您的证书。
不需要root/sudoer访问权限。
Docker 就绪
IPv6 就绪
更新或错误等的 Cron 作业通知。
非常符合我的需求,于是研究了下记录下来.

目录

安装

curl https://get.acme.sh | sh -s email=my@example.com


wget -O -  https://get.acme.sh | sh

执行上面的命令,它会:

从 GitHub 上下载 sh 脚本并执行
把文件解压到用户的 ~/.acme.sh目录下
给命令行设置一个acme.sh的 alias
别名 最后注册一个 cron 定时任务来自动更新证书。

验证是否安装成功

acme.sh -h

证明协议

acme.sh提供了acme协议支持的所有试验证明协议。一般有两种方式验证:http和dns验证。

  1. http方式需要在你的网站根目录下放一个文件,来验证你的域名所有权利,完成验证。然后就可以生成证书了。
acme.sh --issue -d mydomain.com -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/

只需要指定域名称,并指定域名称所在的网站根目录。acme.sh会全自动的生成验证文件,并发布到网站的根目录,然后自动完成验证。最后会聪明的删除试验文件。整个过程没有任何副作用。

如果你使用的apache服务器,acme.sh还可以智能的从apache的配置中自动完成验证,你不需要指定网站根目录:

acme.sh --issue -d mydomain.com --apache

如果你使用的nginx服务器,或者反代,acme.sh还可以智能的从nginx的配置中自动完成验证,你不需要指定网站根目录:

acme.sh --issue -d mydomain.com --nginx

注意,不管是apache还是nginx模式,acme.sh在完成验证之后,都会恢复到之前的状态,都不会私自更改你自身的配置。好的地方是你不用担心配置被搞坏,还有一个不足,你需要自己配置ssl的配置,否则只能成功生成证书,你的网站还是无访问https。但是为了安全,你还是自己手动修改配置吧。

如果你还没有运行任何web服务,80端口是空旷的,那么acme.sh还能假装自己是一个webserver,临时听在80端口,完成试验证明:

acme.sh --issue -d mydomain.com --standalone

更高级别的使用方法请参考: https: //github.com/Neilpang/acme.sh/wiki/How-to-issue-a-cert

  1. 手动 dns 方式, 手动在域上添加一条 txt 解析记录, 验证域名所有权限.

这种方式的好处是,你不需要任何服务器,不需要任何公网ip,只需要dns的解析记录即可完成验证。问题是,如果不同时配置Automatic DNS API,使用这种方式acme.sh 将无法自动更新证书,每次都需要手动重新解析试验域名所有权利。

acme.sh --issue --dns -d mydomain.com \
 --yes-I-know-dns-manual-mode-enough-go-ahead-please

然后,acme.sh会生成相关的解析记录显示出来,你只需要在你的域管理面板中添加这条txt记录即可。

等候解析完成之后, 重新生成证书:

acme.sh --renew -d mydomain.com \
  --yes-I-know-dns-manual-mode-enough-go-ahead-please

注意第二次这里用的是 --renew

dns 方式的真正强大之处在于可以使用域解析商提供的 api 自动添加 txt 记录完成验证。

acme.sh目前支持 cloudflare, dnspod, cloudxns, godaddy 以及 ovh 等十种解析商的自主集成。
在这查看DNS解析商的支持
Cloudflare为例,你需要先登录到Cloudflare账号,
我的个人资料》API令牌获取
获取全局密钥
然后命令行导入

export CF_Key="<key>"
export CF_Email="example@gmail.com"

创建APItoken

export CF_Token="<token>"
export CF_Account_ID="<id>"

然后生成证书

./acme.sh --issue --dns dns_cf -d *.example.com

证明书就会自动生成了。这里给出的 api idapi key 这些配置信息会保存到 ~/.acme.sh/account.conf 这个文件里,在证书续期或者其他利用 CF 进行验证的时候会自动调用。以后你在使用 Cloudflare api 的时候,就不需要再指定了。直接生成就好了:

acme.sh --issue -d *.example.com --dns  dns_cf

签发证书成功后,需要把证书安装或者复制到真正需要的地方,如 nginx / apache 的目录下。

官方说必须用下面的命令来安装证书,不能直接用 ~/.acme.sh/目录下的证书文件,因为那只能内部使用,且未来目录结构可能会更改。

我们只需要使用 --installcert 命令,指定目标位置,然后证书文件就会被 copy 到相应的位置了。

其中域名是必须的,其他参数是可选的。

有必要的话,可能需要对证书文件的所属权限进行一些设置。
Nginx:

acme.sh --installcert -d example.com \
--key-file       /path/to/keyfile/in/nginx/key.pem  \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd     "service nginx force-reload"

这里用的是 service nginx force-reload, 不是 service nginx reload, 据测试, reload 并不会重新加载证书, 所以用的 force-reload
Nginx 配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer ,而非 /etc/nginx/ssl/.cer ,否则 SSL Labs 的测试会报 Chain issues Incomplete 错误

acme.sh 自动生成的定时任务

43 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

acme.sh 会帮我们每隔60天(会变) 更新一次证书 更新证书的安装目录和上次一致 reloadcmd 用来指定下次更新时 重新加载证书的命令,亲测Docker容器也可以使用 比如重启Docker容器 Docker restart nginx
这样证书就安装完成了,并且后续的重新申请部署完全不需要我们去管

NidhoogJX
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssl证书自动化快速部署和续费经验分享
惠惠软件
09-20 860
注意:安装完成后,再重新打开命令行(如果是 SSH,选择重新连接),以使acme.sh命令生效。如果上面官方下载地址失败 或者 太慢,可以选用国内的备用地址。建议切换到root模式,可以减少证书安装时的问题。注意:MacOS 不用切换到root更简单。获得域名验证(DCV)授权信息。
一键配置 SSL证书(HTTPS)
08-05
自动配置HTTPS证书SSL), 压缩包的备注已详细注明了部署方法。
K8S实战(十二)| 为 Ingress 以及后端 Nginx 增加证书
程立笔记
09-19 948
前言 前面 nginx 都是 http 协议在工作,那么加证书应该如何操作。 更新历史 20200701 - 初稿 - 左程立 原文地址 - https://blog.zuolinux.com/2020/07/01/nginx-https.html 创建证书 可以网上申请一年免费证书,也可以自建证书。下面自建证书。 下载自建证书脚本 wget -O Makefile https://raw.githubusercontent.com/kubernetes/examples/master/staging/
自己颁发SSL证书
InJra_p的博客
05-06 2400
本机如何模拟CA机构,构建SSL证书 安装openssl 用OpenSSL生成SSL证书 打开openssl.exe 安装盘符>>OpenSSL-Win64>>bin>>openssl.exe 输入命令并按回车键 genrsa -des3 -out server.key 2048 此时让你输入密码 密码输入后不会显示,两次密码...
Nginx中实现自签名SSL证书生成与配置
Katie_ff的博客
09-07 3053
本文 主要是Nginx 就可以使用自签名 SSL 证书来启用 HTTPS,实现加密和安全的通信。需要注意的是,自签名 SSL 证书不会受到公信任的证书颁发机构(Certificate Authority)认可,因此浏览器会显示安全警告。在生产环境中,建议使用由受信任的证书颁发机构签发证书来获得更高的安全性和可信度。
Nginx实现自签名SSL证书生成与配置
云计算之路
04-30 9235
本文讲解了如何创建自签名的SSL证书,并讲解了什么是公钥、私钥、加密私钥以及签名和证书的概念,详细讲解了如何生成公钥、私钥、加密私钥以及如何签名生成证书,并且讲解了如何通过nginx的配置实现https的功能。提供了使用私钥的报错及解决方法
Nginx配置SSL证书
weixin_59280309的博客
11-22 6965
Nginx配置SSL证书
Nginx 服务器 SSL 证书安装部署
qq_57756904的博客
07-15 2720
当前服务器的操作系统为 CentOS 7,由于操作系统的版本不同,详细操作步骤略有区别。 安装 SSL 证书前,请您在 Nginx 服务器上开启 HTTPS 默认端口 443,避免证书安装后无法启用 HTTPS。具体可参考 服务器如何开启443端口?
颁发SSL证书
lihongshi646951163的博客
04-03 389
1.生成RSA密钥 $openSSL genrsa-des3 -out 名称.key 1024 2.拷贝一个不需要输入密码的密钥原件 $openSSL rsa -in 名称.key -out 名称_nopass.key 3.生成一个证书请求 $openSSL req -new -key 名称.key -out 名称.csr 4.自签发证书 $openSSL x509 -req -days 3...
Nginx 颁发自签证书
以爱护甲,爱满枫林。
09-11 1112
对于CentOS-7 的系统,默认 nginxSSL配置路径是。在使用 http 访问 https 时,就会报。首先,确保安装了OpenSSL库,并且安装Nginx时使用了。输入密码后,再次重复输入确认密码。记住此密码,后面会用到。建议先进入这个目录,然后再执行下文的生成操作,最后把。中的 header 中增加上述描述信息即可,见下图。对于我司系统来说,只要在。
CentOS 6.7下nginx SSL证书部署的方法
01-10
# ls /opt/nginx/conf/ssl qingkang.me.crt # 公钥 qingkang.me.key # 私钥 配置 vim nginx.conf 找到以下内容 # HTTPS server # #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert....
Nginx配置SSL证书部署HTTPS网站的方法(颁发证书
09-30
主要介绍了Nginx配置SSL证书部署HTTPS网站的方法(颁发证书),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
一键脚本自动生产nginxssl证书
11-29
原文链接:https://blog.csdn.net/m0_37814112/article/details/121617919 说明: 1、证书文件格式为pem和key 2、适用于大量自签证书场景 3、支持域名和ip两种方式
Wordpress Apache服务器SSL证书自动安装部署 - 猿码设计师
Programming
06-05 452
Wordpress Apache服务器SSL证书自动安装部署 - 猿码设计师https://www.yuanmadesign.com/ymdesign/apache-httpd-ssl用wordpress搭建了网站,为了安全起见,想设置https来增强网站的安全性。那么先得从服务商那里获得证书,免费的或者收费的都可以,只不过免费的安全服务和时间上会有限制,具体限制是什么,阿里和腾讯可能不一样,这里不做深入探讨。这篇文章主要介绍apache httpd服务的https证书的配置过程。文章最后给出了一键配置的脚
Cerbot 再 Ubuntu 上,自动生成 Https 证书
weixin_34102807的博客
04-12 358
2019独角兽企业重金招聘Python工程师标准>>> ...
HTTPS与自制SSL证书
u010148813的专栏
12-15 4917
介绍https基本原理,以及自制ssl证书并安装证书,还介绍了证书格式及格式转换方法。
自建CA给内部网站颁发SSL证书
wendr的博客
06-18 3186
Windows Server - 建设篇 第二章 自建CA给内部网站颁发SSL证书
使用grafana beyla作为ebpf无侵入式trace收集工具
最新发布
神棍之路
05-17 858
Beyla 使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改。它使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改.
nginx ssl证书如何部署
04-28
部署nginx SSL证书的步骤如下: 1. 获取SSL证书和私钥文件。你可以从证书颁发机构(CA)购买或申请免费的SSL证书,或者自己使用openssl命令生成证书和私钥文件。 2. 将SSL证书和私钥文件上传到服务器。你可以使用SCP或SFTP等工具证书和私钥文件上传到服务器。 3. 配置nginx服务器的SSL参数。你需要在nginx的配置文件中添加以下代码: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/cert.crt; ssl_certificate_key /path/to/private.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root /usr/share/nginx/html; index index.html index.htm; } } ``` 其中,`/path/to/cert.crt`和`/path/to/private.key`分别是你上传的SSL证书和私钥文件的路径。 4. 重启nginx服务器。你可以使用以下命令重启nginx服务器: ``` sudo systemctl restart nginx ``` 这样,你的nginx服务器就可以使用SSL证书加密传输了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值