来此加密证书申请,验证,自动部署

已于 2023-05-26 16:26:52 修改
阅读量3.7k 收藏 2
点赞数
分类专栏: nginx https 文章标签: 安全 https nginx
于 2022-08-18 16:31:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/brazor/article/details/126407584
版权

之前用certbot, 后来一直不报错, 证书不管用, 就想着干脆直接使用来此加密, 不要中间商了, 就有了直接到来此加密注册之旅

注册地址:

来此加密https://letsencrypt.osfipin.com/user-0408/order/list附上这两年的"战绩"

申请这么多证书主要原因是, 测试域名太多, 一些用了之后又不要了, 还有一些测试域名的证书

话不多说, 直接申请证书

1, 点击申请证书

2,输入需要申请证书的域名,如果需要泛域名,或者包含根域名, 自行选中

 3,选择加密方式,我一般就下一步了

 4,选择渠道和是否需要独立通道, 独立通道的作用可以去看看文档, 总的来说就是可以同时处理多个证书的申请&验证, 然后验证和创建的速度要快些, 备注我都没怎么在意

 5,提交, 等证书创建成功

 

因为我的这个测试域名已经创建成功了的, 只能另起一个域名作为演示: a.sinclair.world

 6,选择验证方式

        http验证:

        

如果已经指了域名, 就可以用http,在域名服务器的目录下面创建文件夹 mkdir -p ./.well-known/acme-challenge/

点击"立即下载",把文件放到新建的文件夹里面, 就可以直接点击验证本条了, 需要注意的是服务器的配置不要把http直接跳转https了, 不然要报错

        DNS验证:

需要注意上面说的是TXT  还是CNAME, 按照指定的规则添加DNS规则, 然后再进行验证

下面附上一些失败记录,HTTP的失败是因为没关闭http跳转https, DNS就是没看清楚到底是TXT解析还是CNAME解析...自己的锅自己背......

 

 7,我用的nginx 就参考了文档里面的nginx配置

server
{
    listen 80;
    listen 443 ssl http2;
    
    ssl_certificate path\fullchain.crt;
    ssl_certificate_key path\private.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;
		ssl_session_tickets off;
  
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;
  
  	# 开启OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;
}

 只需要把fullchain.crt和private.pem放在指定的文件夹, 配置好了就重启nginx

8,通过shell脚本自动部署

        8.1变更验证类型

         8.2根据API接口里面的步骤进行

        首先创建一个key,然后点击查看进入文档

 

         看到了手册 案例:linux下自动下载和部署 · 语雀根据接口文档,可以编写满足需求的bash文件,实现自动...https://www.yuque.com/osfipin/letsencrypt/makzkw

 我用了这个案例里面的例子

附上我的脚本:

 

#!/usr/bin/env bash
export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin

# 参数配置 开始
ORDER_ID='2x83ml'#上图的自动验证ID
TYPE='auto'#自动重申&自动验证的话,这里需要是auto
API_TOKEN='xxxxxx'##刚刚申请的key
API_USER='XXX@163.com'#我的用户名
FILE_CERT_DIR='/etc/nginx/cert'
FILE_CERT=${FILE_CERT_DIR}'/fullchain.crt'
FILE_CERT_KEY=${FILE_CERT_DIR}'/private.pem'
COMAND_RELOAD='nginx -s reload'
# 参数配置 结束

# 以下内容根据需求修改
# 证书到期前13天内才会更新
isexpire=`openssl x509 -in ${FILE_CERT} -noout -enddate -checkend 91123200`
if echo "${isexpire}" | grep  " not " ; then
	#echo "Certificate will not expire."
	exit 1
fi

API_URL='https://api.osfipin.com/letsencrypt/api'
URL_ORDER_DOWN="${API_URL}/order/down"
HEADER_AUTHOR="Authorization: Bearer ${API_TOKEN}:${API_USER}"
ZIP_FILE="${ORDER_ID}.$RANDOM"
curl ${URL_ORDER_DOWN} -H "${HEADER_AUTHOR}" -G -d "id=${ORDER_ID}" -d "type=${TYPE}" -o ${ZIP_FILE}.zip

if [ ! -s "${ZIP_FILE}.zip" ]; then
	echo "download error."
	exit 1
fi

size=`du -b ${ZIP_FILE}.zip | awk '{print $1}'`
if [[ ${size} -lt 500 ]]; then
	echo "download file error."
	cat ${ZIP_FILE}.zip
	unlink ${ZIP_FILE}.zip
	exit 1
fi


# 解压 移动文件
mkdir -p ${ZIP_FILE}
mkdir -p ${FILE_CERT_DIR}
unzip ${ZIP_FILE}.zip -d ${ZIP_FILE}
cp ${ZIP_FILE}/fullchain.crt ${FILE_CERT}
cp ${ZIP_FILE}/private.pem ${FILE_CERT_KEY}
# 删除 打完收工
unlink ${ZIP_FILE}.zip
rm -rf ${ZIP_FILE}

##`${COMAND_RELOAD}`

脚本在root用户下运行

在crontab里面添加定时任务, 我是周二周五运行一下

30 8 * * 2,5 bash /root/backup/updateHttps.sh

至此, 从申请证书, 到验证, 到配置, 再到自动部署, 大致的步骤就完了, 官方文档很详细了, 需要注意的是:

  •         http验证的时候, 文件夹权限要注意, http不要直接跳转https, 证书配置好了再说哈
  •         DNS验证的时候, 需要注意是TXT解析还是CNAME解析
  •         自动部署的时候, 过期时间需要改一下

免费的证书, 爱了吗, 不过建议加入VIP, 买点独立通道, 真的很方便!

附上推荐码,可自取: 2DOV0NRJ

记录完毕, 收工

Brazor
关注
专栏目录
HTTP+ 加密 + 认证 + 完整性保护 =HTTPSHTTPS 安全通信机制)
Cr1556648487的博客
08-13 796
前言:HTTP 加上加密处理和认证以及完整性保护后即是HTTPS如果在 HTTP 协议通信过程中使用未经加密的明文,比如在 Web 页面中输入信用卡号,如果这条通信线路遭到窃听,那么信用卡号就暴露了。 另外,对于 HTTP 来说,服务器也好,客户端也好,都是没有办法确认通信方的。因为很有可能并不是和原本预想的通信方在实际通信。并且还需要考虑到接收到的报文在通信途中已经遭到篡改这一可能性。为了统一解决上述这些问题,需要在 HTTP 上再加入加密处理和认证等机制。我们把添加了加密及认证机制的 HTTP 称为 H
免费SSL证书申请部署实践
m0_56069948的博客
07-16 475
在收到证书签发成功的邮件通知以后,再次来到管理后台界面,选择“订单管理”,点击订单编号旁边的“快速查看”,在弹出界面中点击“下载证书”,弹出证书下载界面。第一,如何快速申请到一个免费的DV证书(通常免费的证书都是DV证书,DV证书对于个人或者测试用途足够了)。根据提示完成相关验证操作,证书的签发需要等待一会儿,不要着急,大约几分钟之后会收到证书签发成功的邮件。在证书下载弹出界面中,首先选择部署SSL证书的服务器,然后再选择“下载”,或者将证书文件发送到邮箱。...
Let‘s Encrypt免费安全证书的步骤及使用
osfipin note
07-13 417
网站安全现已成为每个在线业务的重要考虑因素。为了确保网站与用户之间的通信安全,SSL/TLS证书发挥着至关重要的作用。
Let‘s Encrypt在Linux上自动续签HTTPS证书
weixin_73725158的博客
09-25 589
Let's Encrypt作为一个由Mozilla、Cisco、Akamai、IdenTrust和EFF等组织发起的项目,致力于通过自动化方式为网站提供免费的SSL/TLS证书,极大地促进了互联网的加密化,保障了用户的在线安全。总之,Let's Encrypt在Linux上通过Certbot实现了HTTPS证书自动续签,极大地简化了证书管理的复杂性。为了实现证书自动续签,Certbot会为你设置一个cron作业(或类似的定时任务),该任务会定期检查证书的有效期,并在需要时自动续签证书
来此加密网站配置证书
funnyPython的博客
10-22 904
https://www.594web.com/plus/view.php?aid=726 https://letsencrypt.osfipin.com/
使用来此加密申请多域名SSL证书
osfipin note
07-11 630
简而言之,多域名SSL证书是一种特殊的SSL/TLS证书,其特点在于一个证书可以覆盖和保护多个不同的域名和子域名。与传统的单域名SSL证书相比,多域名SSL证书无需为每个域名单独购买和安装证书,从而大大降低了成本和管理复杂度。不同的多域名SSL证书支持的域名数量可能有所不同,用户应根据自己的需求选择合适的证书,确保覆盖所有需要保护的域名。多域名SSL证书采用与单域名证书相同的加密技术和安全标准,确保数据传输的机密性、完整性和身份验证,从而增强了网站的信任度。4、域名验证,可以使用手动验证,也可以自动验证
Let's Encrypt 在线证书申请:来此加密
osfipin note
03-30 6385
Let’s Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,它的来头不小,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS,目前Facebook等大公司开始加入赞助行列。Lets Encrypt从2018年开始支持泛域名证书。Let’s Encrypt有很多支持申请证...
通过Python脚本下载【来此加密的免费HTTPS SSL证书】并自动更新到服务器和阿里云CDN
异想之旅的博客
01-17 2423
来此加密Let's Encript免费SSL HTTPS证书
centos7.6部署Nginx1.1.18中间件SSL加密证书改造步骤
10-27
在本文中,我们将深入探讨如何在CentOS 7.6操作系统上部署Nginx 1.18.18中间件,并实现SSL加密证书的改造,以确保网站通信的安全性。这一过程涉及到Linux系统管理、Nginx配置、SSL证书申请与导入等多个环节。 ...
win-acme 网站https 证书免费申请工具
08-15
1. **自动证书申请**:win-acme简化了证书申请流程,只需几步操作即可完成。它会自动验证你的域名所有权,并向Let's Encrypt提交请求。 2. **IIS集成**:win-acme与Windows的IIS服务器紧密集成,可以自动配置IIS...
教育科研-学习工具-SSL证书自动部署方法及设备.zip
08-14
总之,教育科研领域的SSL证书自动部署涉及多方面,包括证书申请、工具选择、设备配置等。通过合理规划和有效实施,可以显著提升网络安全性,保障教育科研活动的顺利进行。同时,定期检查和更新证书,以应对网络...
阿里云免费DV SSL类型证书申请部署
04-04
### 阿里云免费DV SSL类型证书申请部署详解 #### 一、SSL证书简介 SSL(Secure Sockets Layer)证书是一种数字证书,用于在客户端浏览器与服务器之间建立加密连接,确保数据传输的安全性。它通过HTTPS协议来实现...
来此加密官网找不到问题分析
osfipin note
03-12 466
1、在百度直接搜索“来此加密”官方网站并没有出现,但是如果搜索“来此加密官网”就可以排到第一了。(网站首页并没有“官网”这个关键词,加上这个关键词就能排名第一,呵呵。3、关闭广告拦截,在百度上搜索“来此加密”,都是满屏的广告,想来这个搜索词给它也挣了不少钱吧,呵呵。最近好多用户反馈,在莫度上搜索不到来此加密官网了。于是了解了一下,确实如此,囧。2、在360搜索,必应搜索,谷歌搜索里,关键词“来此加密”依旧是排名第一。搜索下拉显示,这个操作已经影响了很多用户了。已经有人直接搜索官网了。
SSL证书加密
qq_45215831的博客
06-27 460
什么是SSL证书? 什么是 SSL 证书? SSL 证书就是遵守 SSL 安全套接层协议的服务器数字证书。而 SSL 安全协议最初是由美国网景 Netscape Communication 公司设计开发的,全称为:安全套接层协议 (Secure Sockets Layer) , 它指定了在应用程序协议 ( 如 HTTP 、 Telnet 、 FTP) 和 TCP/IP 之间提供数据安全性分层的机制...
linux里的http的认证加密
zhou562334410的博客
03-24 534
linux里的http的认证加密 HTTP即超文本传输协议     这是一个文件的传输协议,我们上网的时候,所有的文件都是通过HTTP这个协议,从服务器上传输到客户端的电脑里面的。同时HTTP协议工作在应用层,所以想要运行这个协议必须有相应的应用程序支撑。 这里我们就先了解下什么是客户端,什么是服务端 客户端:通常是指我们的浏览器,比如谷歌浏览器、火狐浏览器、IE等,浏览器安装在客户使用的电脑上,所以,在描述http时,客户端通常也代指那些安装了浏览器的电脑。 服务端:通常是指那些安装了web服务软件的计算
[笔记] CentOS7 + Nginx 环境下,安装使用 Let‘s Encrypt 免费 SSL 证书 (自动续签)
最新发布
LuChangQiu的博客
10-18 1493
安装 `SSL/TLS` 证书在服务器可以确保数据传输的安全性和完整性,验证服务器身份,增强用户信任,提升搜索引擎排名,并符合相关法规要求,从而保护敏感信息不被窃听或篡改。 网站使用 `HTTPS` 协议已是大势所趋,而要在 `web` 上使用 `HTTPS` 的话,我们首先需要获得一个 `SSL` 证书文件。本文介绍如何在 `CentOS7 + Nginx` 环境下,安装使用 `Let's Encrypt` 免费 `SSL` 证书 , 并且使用 `docker` 部署项目 。
国密SSL加密证书获取流程
qq_15077747的博客
10-16 4507
国密CA体系里面,加密密钥对是在CA端产生的,和通常的签名证书流程不一样(签名密钥对通常是用户自己产生的,发送证书请求给CA来申请证书)。 那用户怎么安全获得加密证书和私钥呢?国密规范规定,加密私钥需要通过数字信封使用用户的签名公钥加密。CA将加密私钥密文返回给用户,用户因为有对应的签名私钥,因此只有该用户才可以解开密文,获得加密私钥。过程如下: 1)用户使用U盾产生签名密钥对,生成签名证书请求,发送签名证书请求给CA; 2)CA审核生成签名证书,产生加密密钥对,生成加密证书; 3)CA生成对称密钥
IIS站点证书申请与绑定
weixin_34143774的博客
09-29 1433
步骤说明 购买域名 域名解析 服务器备案 购买证书 证书绑定 购买域名 这里是在阿里云的万网购买的域名,如cademo.com。 域名解析 为cademo.com添加解析到自己的外网服务器,如123.102.103.106。 服务器备案 如果服务器尚未备案,请到供应商提供的备案平台,根据说明进行资料提交与备案。点击访问阿里云备案中心。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值