免费SSL/TLS域名证书Certbot配置详细过程

最新推荐文章于 2024-04-01 11:44:15 发布
最新推荐文章于 2024-04-01 11:44:15 发布
阅读量2.7k 收藏 5
点赞数 1
分类专栏: Server Web 前端 文章标签: ssl 网络协议 网络 网站证书 certbot 域名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Richardlcx/article/details/132282722
版权

文章目录

1. 在服务器上安装 Certbot

  • 对于 Linux 系统,可以通过包管理器安装 Certbot,如 Debian/Ubuntu 使用:sudo apt install certbot,然后输入:“Y”
    installY

2. 停止 web 服务器

  • 停止现有的 web 服务器程序,如 nginx 或 apache。这样可以避免端口冲突(视实际情况而定)。

3. 运行 certbot 命令

  • 这会启动一个临时 web 服务器用来做域名验证,并获取 example.com 和 www.example.com 的证书(其中example需要更换为目标域名)。
    sudo certbot certonly --standalone -d example.com -d www.example.com
    执行
    成功

根据证书获取成功的提示信息,可以看出:

  1. 证书和链文件已保存到:/etc/letsencrypt/live/example.com-0002/fullchain.pem
  2. 私钥文件保存到:/etc/letsencrypt/live/example.com-0002/privkey.pem
  3. 证书有效期至2023-11-12
  4. 以后需要续期或更新证书,可以再次运行 certbot
  5. 使用 “certbot renew” 可以自动续期所有证书

通过指定不同的文件名 aihnet.com-0002 避免了与现有证书冲突。接下来的步骤是:

  1. 将新证书配置到 web 服务器程序中,如 nginx 或 apache。
  2. 重新加载 web 服务器使证书生效。
  3. 配置 certbot 的自动续期任务,保证证书持续有效。
  4. 可选删除旧的证书文件。

总体上看,Certbot 已成功帮助获取了新证书,只需要部署到 web 服务器即可完成使用。以后也可以通过 certbot 轻松自动续期。

4. 证书生成位置

  • Certbot 会把证书生成到系统默认路径,如 nginx 的 /etc/letsencrypt/live/example.com/

5. 配置 web 服务器

  • 以 nginx 为例,编辑 /etc/nginx/conf.d/example.com.conf ,指向证书文件路径,并添加 SSL 相关配置。

6. 重新加载 web 服务器

  • 让 nginx 重新加载新的配置文件并启动。

7. 验证

  • 访问网站,检查证书是否正确加载。

8. 配置自动续期

  • 添加 crontab 定时任务,使用 certbot renew 定期续期。

  以上步骤可完成 Certbot 的标准配置。也可以进一步自定义证书保存路径、配置 HTTP 到 HTTPS 重定向等。Certbot 提供了强大的管理 SSL 证书的自动化能力。

发现问题

1. Problem binding to port 80: Could not bind to IPv4 or IPv6.

根据这个错误信息,问题出在Certbot自动验证过程中启动的临时web服务器未能成功绑定80端口。可能原因有:

  1. 80端口被其它进程占用了,需要关闭其他正在使用80端口的程序。可以用netstat -ntlup来检查。检查端口
  2. Certbot默认使用80端口。如果想使用其他端口,可以添加--http-01-port 8080参数来指定端口。
    8080
  3. 防火墙阻止了80端口访问。可以添加规则放行80端口或关闭防火墙测试。
  4. 服务器上存在多个网卡或IP地址,Certbot绑定了错误的地址。可以用--preferred-challenges http参数来强制使用80端口。
  5. 权限不足,需要以root账户运行certbot或使用sudo。
  6. 系统底层资源不足,导致无法打开80端口。可以切换到更强劲的服务器。

  建议先检查80端口情况,关闭占用进程或改换端口。若还未解决,可以尝试关闭防火墙、指定网络地址绑定等方法。保证Certbot能打开80端口则可顺利完成验证,获取证书。

2. live directory exists for example.com

  根据您的命令输出,使用端口8080避免了前面的80端口冲突问题,Certbot验证过程继续进行了下去。但在最后一个步骤时报错显示live目录已存在。这表示您之前已经为example.com生成过证书,并存在默认的证书文件目录/etc/letsencrypt/live/example.com。

出现这个问题的原因可能有:

  1. 你之前使用certbot或者其他工具已经获取过example.com的证书了,现在会冲突。
  2. 上次获取证书过程中失败或被中断,留下了残余文件。
  3. certbot的证书存储路径被修改或指向了自定义目录。
  4. 不同的certbot版本或模式导致了live目录存放路径不一致。

解决方法是:

  1. 检查默认目录,删除或备份 existing 现有的证书文件。
  2. 使用 certbot delete 删除现有证书。
  3. 指定不同的 --cert-path 来改变新证书的存储位置。
  4. 加上 --force-renewal 参数来强制重载证书。

  在清理已存在的旧证书后,就可以重试命令获取新的证书了。也可以考虑切换到 certbot 的 certonly 模式避免冲突。

RichardLau_Cx
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
https安全解决方案证书certbot教程
wangyun381974024的博客
01-04 2581
https安全解决方案证书certbot教程
.net中为 SSL/TLS 安全通道建立信任关系
09-14
.net中为 SSL/TLS 安全通道建立信任关系
certbot—30秒部署你的HTTPS,永久免费,自动续约
Akanarika520的博客
12-01 2095
Certbot 简化了证书的获取和管理过程,使您能够快速轻松地为您的网站启用 HTTPS,提供更安全的访问方式。自动化:Certbot 可以自动化证书签发和更新的过程,减少了手动操作的工作量和错误的风险。Certbot的官网如下:https://certbot.eff.org/ 当你进入官网选择了对应的web环境和操作系统。此时,我们通过HTTPS来访问我们绑定的域名即可。运行此命令获取证书,并让Certbot自动编辑您的nginx配置以提供证书,在一个步骤中打开HTTPS访问。
Certbot申请证书及问题解决
m0_65591847的博客
02-14 2319
本文总结服务器使用certbot申请https证书详细过程,并对申请过程中的各种问题进行总结。一文完成申请https
免费域名ssl证书
最新发布
u012062803的博客
04-01 415
即可免费使用,市面上所有免费SSL证书的主要缺点就是有效期为90天,且只提供最基础的加密服务,所以通常都要记得及时续签。在审核通过后,登陆证书提供商的网站,下载好签发的SSL证书。多域名SSL证书适用于拥有多个域名的企业和组织使用,它允许在同一张证书下保护多个完全独立的域名。如果预算允许更推荐使用付费SSL证书,付费证书在兼容性和安全性都是远远强于免费的。如果你没有域名,可以。,目前可以该机构免费申请到单域名、泛域名和多域名证书,JoySSL。单域名SSL证书适用于单个域名网站
SSL/TLS一键配置工具下载
02-08
1、IIS Crypto 是一个免费工具,使管理员能够在 Windows Server 2008、2012、2016、2019 和 2022 上启用或禁用协议、密码、哈希和密钥交换算法。 2、允许您重新排序 IIS 提供的 SSL/TLS 密码套件、更改高级设置、通过单击实施最佳实践、创建自定义模板和测试您的网站
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
06-09
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
Certbot免费的HTTPS证书
每天都要开心呀(#^.^#)
09-05 3487
Certbot 是Let’s Encrypt官方推荐的获取证书的客户端,可以帮我们获取免费的Let’s Encrypt 证书Certbot 是支持所有 Unix 内核的操作系统的
使用 certbot 申请泛域名证书和自动续签
阿钱的博客
11-01 9156
下载certbot certbot官网 sudo apt-get update sudo apt-get install software-properties-common sudo add-apt-repository universe sudo add-apt-repository ppa:certbot/certbot sudo apt-get update sudo apt-get install certbot python-certbot-nginx 查看certbot版本 certbot
Certbot签发和续费泛域名SSL证书(通过DNS TXT记录来验证域名有效性)
J_Lee
10-01 2229
Certbot签发和续费泛域名SSL证书(通过DNS TXT记录来验证域名有效性)
Nginx + CertBot 泛解析域名申请https证书以及利用脚本完成证书自动续期
weixin_43558927的博客
02-21 3723
升级 https 使用 Nginx + CertBot 泛解析域名证书的申请及(脚本)自动续期
支持GM SSL/TLS解析的wireshark
10-12
GM/T 没有单独规范 SSL协议的文件,而是在SSL 技术规范中定义了国密SSL协议。 TLS协议号为0x0301 0x0302 0x0303,分别表示TLS1.0 1.1 1.2,而国密SSL版本号为0x0101,其参考了TLS1.1 本Wireshark支持解析该报文
certbot-beta-installer-win32.exe
06-17
Let’s Encrypt是一个 CA 机构,签发证书不需要任何费用.Certbot证书生成工具,通过使用Certbot可以实现证书申请和自动续签。certbot-beta-installer-win32.exe是windows平台下的certbot安装程序。
Certbot之仅申请证书、在内网中申请证书、DNS01
k4nz
05-28 1755
原文地址:Certbot之仅申请证书、在内网中申请证书、DNS01(永久地址,保存网址不迷路 ????) 问题描述 在申请证书时,我们按照 Certbot 官方指引,需要公网服务器,并且 HTTP 站点在线(这主要是为了完成 HTTP 质询,以证明域名所有权)。当证书签发结束后,Certbot 程序将修改 Nginx 配置文件以使用新的证书。整个过程一步到位,开箱即用,非常方便。 但是存在特殊场景:我们站点在内网,未对外公开,这样便无法完成 HTTP 质询,就无法进行签发证书;我们的 Web se
阿里云服务器 使用Certbot申请免费 HTTPS 证书及自动续期
01-05 3250
Certbot是一款免费且开源的自动化安全证书管理工具,由电子前沿基金会(EFF)开发和维护,是在Linux、Apache和Nginx服务器上配置和管理SSL/TLS证书的一种机制。Certbot可以自动完成域名的认证并安装证书
使用Certbot签发HTTPS证书
llf_cloud的博客
03-18 1319
Let’s Encrypt 是一个自动签发 https 证书免费项目Certbot 是 Let’s Encrypt 官方推荐的证书生成客户端工具。
certbot证书安装
王子,一起秃头吧
09-25 2273
certbot证书SSL证书是一个东西,各大厂商都会有ssl证书的下载流程,但是ssl证书会收费,相比较之下,certbot证书的优点就是免费,可以同时布置多个域名,并且操作步骤十分简单。
如何检查SSL/TLS配置
06-09
要检查SSL/TLS配置,请使用以下步骤: 1. 检查SSL/TLS版本: 确认您正在使用的SSL/TLS版本是否受支持。较旧的SSL/TLS版本可能会导致安全漏洞,而较新的版本则更安全。可以通过以下方式检查您的SSL/TLS版本: ``` openssl version -a ``` 这将显示openssl版本信息,包括使用的SSL/TLS版本。确保您正在使用的版本是最新的,并且不受已知的安全漏洞影响。 2. 检查证书: 检查SSL/TLS证书是否有效并受信任。您可以使用以下命令检查证书: ``` openssl s_client -connect <host>:<port> ``` 将`<host>`和`<port>`替换为您要检查的主机和端口。此命令将显示与主机建立的SSL/TLS连接的详细信息,包括证书信息。确保证书是有效的,未过期,并由受信任的颁发机构颁发。 3. 检查密码套件: 确认您正在使用的密码套件是否受支持。密码套件是SSL/TLS连接中用于加密和解密数据的算法集合。较旧的密码套件可能存在安全漏洞,而较新的密码套件则更安全。您可以使用以下命令列出您的系统支持的密码套件: ``` openssl ciphers -v ``` 确保您正在使用的密码套件是最新的,并且不受已知的安全漏洞影响。 如果您不确定如何检查SSL/TLS配置,请参考相应SSL/TLS文档或联系您的网络管理员以获取帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值