Let's Encrypt,免费好用的 HTTPS 证书

最新推荐文章于 2024-10-29 19:27:11 发布
最新推荐文章于 2024-10-29 19:27:11 发布
阅读量111 收藏
点赞数
文章标签: 运维 python shell
原文链接:http://www.cnblogs.com/mitang/p/6034828.html
版权

https://imququ.com/post/letsencrypt-certificate.html

1、

openssl genrsa 4096 > account.key

2、私钥

openssl genrsa 4096 > domain.key

3、csr文件生成

DNS域名,可以多个,都要可以访问,注意用到了上面生成的文件

openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr

 

其中,openssl.cnf文件位置,可以查找:

find / -name 'openssl.cnf' 

4.1、验证准备

目录

mkdir ~/www/challenges/

访问引导,注意目录,不要忘记reload生效

server {
    listen 80;
    server_name www.yoursite.com yoursite.com;
   #验证访问
    location ^~ /.well-known/acme-challenge/ {
        alias /home/xxx/www/challenges/;
        try_files $uri =404;
    }

    location / {
     #其他访问转向https
        rewrite ^/(.*)$ https://yoursite.com/$1 permanent;
    }
}

4.2 脚本文件

https://github.com/diafygi/acme-tiny  需要及时更新

5 验证

注意用到了上面生成的两个文件,并提供验证目录

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt

通过验证后,当前目录下就会生成一个 signed.crt 证书文件。

6 合并证书

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem

7开启(nginx配置,其他和http配置一样)

server {
    server_name YOUR_DOMAINNAME_HERE;
    listen 443;
    ssl on;
    ssl_certificate     ~/www/ssl/chained.pem;
    ssl_certificate_key ~/www/ssl/domain.key;
}

 

6自动更新脚本

Let's Encrypt 签发的证书只有 90 天有效期,用脚本定期更新。

脚本内容和上面步骤一样,验证并获得证书,合并证书,最后重载nginx,注意目录

#!/bin/bash

cd /home/xxx/www/ssl/
python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/xxx/www/challenges/ > signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
service nginx reload

7定期执行脚本

可执行权限

chmod a+x renew_cert.sh

定期执行(每月一次)

0 0 1 * * /home/xxx/shell/renew_cert.sh >/dev/null 2>&1

 

转载于:https://www.cnblogs.com/mitang/p/6034828.html

anlei2455
关注
申请免费Let‘s Encrypt 通配符 HTTPS 证书
叱咤少帅的博客
05-10 303
申请免费Let's Encrypt 通配符 HTTPS 证书
利用OpenSSL 自签CA证书制作链式SSL证书
baidu_34881991的博客
03-31 2340
自签链式证书中间证书步骤
自动获取https签名
SunJackson的博客
01-25 585
说明 [domain] 为网站域名,注意对应修改 准备工作 安装openssl 创建存放ssl证书文件夹mkdir ssl 创建账号 openssl genrsa 4096 &gt; account.key 创建CSR文件 创建域名私钥 openssl genrsa 4096 &gt; [domain].key 生成 CSR 文件 单域名 openssl req -new -sha...
OpenSSL 自签证书详解
云原生运维
12-25 7091
数字证书的基本概念 数字证书的标准 X.509版本号:指出该证书使用了哪种版本的X.509标准,版本号会影响证书中的一些特定信息 序列号:由CA给予每一个证书分配的唯一的数字型编号,当证书被取消时,实际上是将此证书序列号放入由CA签发的CRL(Certificate Revocation List证书作废表,或证书黑名单表)中。这也是序列号唯一的原因 签名算法标识符:用来指定CA签署证书时所使用的签名算法,常见算法如RSA 签发者信息:颁发证书的实体的 X.500 名称信息。它通常为一个 CA 证书的有效
利用openssl生成证书
select603的专栏
02-04 614
第一步: 生成一个4096bit的rsa key openssl genrsa -out ca.key 4096 Generating RSA private key, 4096 bit long modulus .................................................................................
ACME-TINY制作免费HTTPS证书
zhang6622056的专栏
12-19 3070
前言虽然实现了https的环境搭建,用到付费的CA认证机构,然而身边确实有很多声音在建议这免费https SSL证书,于是乎自己真正搭建尝试了一下免费https的搭建过程,并且阐述自己的理解4种不同的证书企业级别:EV(Extended Validation)、OV(Organization Validation) 个人级别:IV(Identity Validation)、DV(Domain V
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
### Let’s Encrypt 免费 SSL 证书获取及自动续签详解 #### 一、前言 随着互联网安全意识的提高,HTTPS 协议已经成为网站标配。对于个人开发者和小型项目而言,免费且易于管理的 SSL 证书尤为重要。Let’s Encrypt ...
Let‘s Encrypt创建免费https证书
椰汁菠萝
01-31 416
随着https的普及,越来越多网站使用https证书;没有https证书,网站无疑相当于在互联网上裸奔,是否被强,完全看黑客心情。但一个https证书的价格实在不便宜。虽然阿里提供了免费证书,但这证书不能颁发给根域名,每有一个域名就需要申请证书。等证书过期了还要进行更换,这种运维简直灾难。找来找去,也只有Let’s Encrypt颁发的证书满足要求。Let’s Encrypt 官网:Let’s Encrypt证书颁发机构,他们可以颁发根域名证书,唯一问题就是证书授权时间比较短,只有3个月。
Certbot:从Let's Encrypt永久获得免费HTTPS证书-开源
04-14
它从由EFF,Mozilla和其他公司发起的开放证书颁发机构Let's Encrypt获取数字证书。 然后,该证书使浏览器可以验证Web服务器的身份,并确保通过Web进行安全的通信。 获取和维护证书通常很麻烦,但是使用Certbot和Let...
Let's Encrypt官网一键式免费申请ssl证书脚本
08-30
Let's Encrypt官网一键式免费申请ssl证书脚本, 使用方法是放到linux环境下, 给出执行权限rwx即可 chmod -R 700 certbot-auto , 之后./certbot-auto执行, 过程中会让你选择apache(1)还是nginx(2), 之后还会让你输入...
申请免费https证书-Let's Encrypt
程序猿开发日志【学习永无止境】
01-13 1万+
背景 近来,互联网由http向https推进的步伐越来越快,除了各大浏览器之外,搜索引擎也特别的优待https,因此想着跟上步伐把自己的网站也弄成https。 想要弄成https,ssl证书是个绕不过去的坎,各大CA机构的证书都价格不菲,要找个免费又受各大浏览器信任的证书着实不易。 本来考虑StartSSL是个不错的选择,但是最近StartSSL因为自身的不规范操作遭到了各大浏览
使用openssl创建自签名的证书和私钥
xiyuan255的博客
04-30 1494
创建根私钥、证书证书请求文件 root@UBT-VM: /usr/lib/ssl/demoCA# openssl genrsa -out ca-key.pem 4096 root@UBT-VM: /usr/lib/ssl/demoCA# openssl req -new -out ca-req.csr -key ca-key.pem root@UBT-VM: /usr/lib/ssl/dem...
openssl详解
修行之路
02-26 1万+
OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用.  SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端
用 OPENSSL 生成不同格式的密钥
weixin_33856370的博客
06-15 669
用 OPENSSL 生成不同格式的密钥 密钥 key 值包括 加密算法: RSA/DSA/ECC 加密位数: 1024/2048/4096 密钥口令:加密方式有很多 在使用 DSA/ECC 加密算法时,首先需要生成算法参数文件 param-file1. 生成 RSA 加密算法密钥 # openssl genrsa -out rsakey.pem...
openSSL证书生成
weixin_41831919的博客
06-24 1254
在生产环境中,您应该从CA获得证书。在测试或开发环境中,您可以生成自己的CA。要生成CA证书 生成CA证书私钥 openssl genrsa -out ca.key 4096 生成CA证书 调整-subj选项中的值以反映您的组织。如果使用FQDN[(Fully Qualified Domain Name)全限定域名]连接Harbor主机,则必须将其指定为通用名称(CN)属性 openssl req -x509 -new -nodes -sha512 -days 3650 -subj "/C=
使用Let's Encrypt 生成免费的ssl证书的详细过程
weixin_34413802的博客
05-28 872
参考连接:https://github.com/diafygi/acme-tiny 中文:https://hacpai.com/article/1487899289204 目前我了解可以生成免费证书的方法有两种: 方法一、阿里云购买免费的ssl证书 特点:一个阿里云账户可以购买20个免费的ssl证书 每个有效期为1年...
linux下openssl命令详解
热门推荐
01-12 3万+
目录: 1,openssl命令总览 2,证书应用 3,RSA应用 4,SHA1 应用 5,base64应用 6,des3应用 1,OpenSSl命令总览 语法格式: openssl command [ command_opts ] [ command_args ] 常用command: version    用于查看版本信息 enc        用于加解密 ci
Let's Encrypt免费申请HTTPS 证书
Do it Yourself
03-23 382
前提: 一、首先创建一个目录,存放临时生成的文件和生成的证书,例如: 二、创建帐号 三、创建CSR 四、配置验证服务 五、获取网站证书 六、指定账户私钥、CSR 以及验证目录,执行脚本: 七、下载中间证书 八、为了后续能顺利启用 OCSP Stapling,我们再把根证书和中间证书合在一起: 九、Nginx 配置 十、配置自动跟新脚本 十一、加入crontab实现定期执行 ...
Kubeadm搭建k8s
最新发布
YCyjs的博客
10-29 1161
kubectl需经由API server认证及授权后方能执行相应的管理操作,kubeadm 部署的集群为其生成了一个具有管理员权限的认证配置文件 /etc/kubernetes/admin.conf,它可由 kubectl 通过默认的 “$HOME/.kube/config” 的路径进行加载。上传 harbor-offline-installer-v1.2.2.tgz 和 docker-compose 文件到 /opt 目录。所有节点上传flannel镜像 flannel.tar 到 /opt 目录,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值