来此加密证书申请,验证,自动部署

已于 2023-05-26 16:26:52 修改
阅读量3.3k 收藏 2
点赞数
分类专栏: nginx https 文章标签: 安全 https nginx
于 2022-08-18 16:31:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/brazor/article/details/126407584
版权

之前用certbot, 后来一直不报错, 证书不管用, 就想着干脆直接使用来此加密, 不要中间商了, 就有了直接到来此加密注册之旅

注册地址:

来此加密https://letsencrypt.osfipin.com/user-0408/order/list附上这两年的"战绩"

申请这么多证书主要原因是, 测试域名太多, 一些用了之后又不要了, 还有一些测试域名的证书

话不多说, 直接申请证书

1, 点击申请证书

2,输入需要申请证书的域名,如果需要泛域名,或者包含根域名, 自行选中

 3,选择加密方式,我一般就下一步了

 4,选择渠道和是否需要独立通道, 独立通道的作用可以去看看文档, 总的来说就是可以同时处理多个证书的申请&验证, 然后验证和创建的速度要快些, 备注我都没怎么在意

 5,提交, 等证书创建成功

 

因为我的这个测试域名已经创建成功了的, 只能另起一个域名作为演示: a.sinclair.world

 6,选择验证方式

        http验证:

        

如果已经指了域名, 就可以用http,在域名服务器的目录下面创建文件夹 mkdir -p ./.well-known/acme-challenge/

点击"立即下载",把文件放到新建的文件夹里面, 就可以直接点击验证本条了, 需要注意的是服务器的配置不要把http直接跳转https了, 不然要报错

        DNS验证:

需要注意上面说的是TXT  还是CNAME, 按照指定的规则添加DNS规则, 然后再进行验证

下面附上一些失败记录,HTTP的失败是因为没关闭http跳转https, DNS就是没看清楚到底是TXT解析还是CNAME解析...自己的锅自己背......

 

 7,我用的nginx 就参考了文档里面的nginx配置

server
{
    listen 80;
    listen 443 ssl http2;
    
    ssl_certificate path\fullchain.crt;
    ssl_certificate_key path\private.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;
		ssl_session_tickets off;
  
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;
  
  	# 开启OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;
}

 只需要把fullchain.crt和private.pem放在指定的文件夹, 配置好了就重启nginx

8,通过shell脚本自动部署

        8.1变更验证类型

         8.2根据API接口里面的步骤进行

        首先创建一个key,然后点击查看进入文档

 

         看到了手册 案例:linux下自动下载和部署 · 语雀根据接口文档,可以编写满足需求的bash文件,实现自动...https://www.yuque.com/osfipin/letsencrypt/makzkw

 我用了这个案例里面的例子

附上我的脚本:

 

#!/usr/bin/env bash
export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin

# 参数配置 开始
ORDER_ID='2x83ml'#上图的自动验证ID
TYPE='auto'#自动重申&自动验证的话,这里需要是auto
API_TOKEN='xxxxxx'##刚刚申请的key
API_USER='XXX@163.com'#我的用户名
FILE_CERT_DIR='/etc/nginx/cert'
FILE_CERT=${FILE_CERT_DIR}'/fullchain.crt'
FILE_CERT_KEY=${FILE_CERT_DIR}'/private.pem'
COMAND_RELOAD='nginx -s reload'
# 参数配置 结束

# 以下内容根据需求修改
# 证书到期前13天内才会更新
isexpire=`openssl x509 -in ${FILE_CERT} -noout -enddate -checkend 91123200`
if echo "${isexpire}" | grep  " not " ; then
	#echo "Certificate will not expire."
	exit 1
fi

API_URL='https://api.osfipin.com/letsencrypt/api'
URL_ORDER_DOWN="${API_URL}/order/down"
HEADER_AUTHOR="Authorization: Bearer ${API_TOKEN}:${API_USER}"
ZIP_FILE="${ORDER_ID}.$RANDOM"
curl ${URL_ORDER_DOWN} -H "${HEADER_AUTHOR}" -G -d "id=${ORDER_ID}" -d "type=${TYPE}" -o ${ZIP_FILE}.zip

if [ ! -s "${ZIP_FILE}.zip" ]; then
	echo "download error."
	exit 1
fi

size=`du -b ${ZIP_FILE}.zip | awk '{print $1}'`
if [[ ${size} -lt 500 ]]; then
	echo "download file error."
	cat ${ZIP_FILE}.zip
	unlink ${ZIP_FILE}.zip
	exit 1
fi


# 解压 移动文件
mkdir -p ${ZIP_FILE}
mkdir -p ${FILE_CERT_DIR}
unzip ${ZIP_FILE}.zip -d ${ZIP_FILE}
cp ${ZIP_FILE}/fullchain.crt ${FILE_CERT}
cp ${ZIP_FILE}/private.pem ${FILE_CERT_KEY}
# 删除 打完收工
unlink ${ZIP_FILE}.zip
rm -rf ${ZIP_FILE}

##`${COMAND_RELOAD}`

脚本在root用户下运行

在crontab里面添加定时任务, 我是周二周五运行一下

30 8 * * 2,5 bash /root/backup/updateHttps.sh

至此, 从申请证书, 到验证, 到配置, 再到自动部署, 大致的步骤就完了, 官方文档很详细了, 需要注意的是:

  •         http验证的时候, 文件夹权限要注意, http不要直接跳转https, 证书配置好了再说哈
  •         DNS验证的时候, 需要注意是TXT解析还是CNAME解析
  •         自动部署的时候, 过期时间需要改一下

免费的证书, 爱了吗, 不过建议加入VIP, 买点独立通道, 真的很方便!

附上推荐码,可自取: 2DOV0NRJ

记录完毕, 收工

Brazor
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP+ 加密 + 认证 + 完整性保护 =HTTPSHTTPS 安全通信机制)
Cr1556648487的博客
08-13 744
前言:HTTP 加上加密处理和认证以及完整性保护后即是HTTPS如果在 HTTP 协议通信过程中使用未经加密的明文,比如在 Web 页面中输入信用卡号,如果这条通信线路遭到窃听,那么信用卡号就暴露了。 另外,对于 HTTP 来说,服务器也好,客户端也好,都是没有办法确认通信方的。因为很有可能并不是和原本预想的通信方在实际通信。并且还需要考虑到接收到的报文在通信途中已经遭到篡改这一可能性。为了统一解决上述这些问题,需要在 HTTP 上再加入加密处理和认证等机制。我们把添加了加密及认证机制的 HTTP 称为 H
centos7.6部署Nginx1.1.18中间件SSL加密证书改造步骤
10-27
在本文中,我们将深入探讨如何在CentOS 7.6操作系统上部署Nginx 1.18.18中间件,并实现SSL加密证书的改造,以确保网站通信的安全性。这一过程涉及到Linux系统管理、Nginx配置、SSL证书申请与导入等多个环节。 ...
来此加密“:轻松在线申请多域名和泛域名SSL证书
小z的专栏
05-26 1048
来此加密可以作为SSL证书的补充工具,优点是免费且支持多域名和泛域名SSL证书,但缺点是证书时间较短(3-6个月),且申请速度较慢。E69XM4KD可获得5积分)
如何申请免费SSL证书,并部署Nginx
最新发布
一个程序员的修养
04-08 1151
实现HTTPS请求,申请免费的SSL证书,将证书部署nginx
来此加密网站配置证书
funnyPython的博客
10-22 869
https://www.594web.com/plus/view.php?aid=726 https://letsencrypt.osfipin.com/
Let's Encrypt 在线证书申请:来此加密
osfipin note
03-30 6213
Let’s Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,它的来头不小,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS,目前Facebook等大公司开始加入赞助行列。Lets Encrypt从2018年开始支持泛域名证书。Let’s Encrypt有很多支持申请证...
通过Python脚本下载【来此加密的免费HTTPS SSL证书】并自动更新到服务器和阿里云CDN
异想之旅的博客
01-17 2216
来此加密Let's Encript免费SSL HTTPS证书
来此加密官网找不到问题分析
osfipin note
03-12 400
1、在百度直接搜索“来此加密”官方网站并没有出现,但是如果搜索“来此加密官网”就可以排到第一了。(网站首页并没有“官网”这个关键词,加上这个关键词就能排名第一,呵呵。3、关闭广告拦截,在百度上搜索“来此加密”,都是满屏的广告,想来这个搜索词给它也挣了不少钱吧,呵呵。最近好多用户反馈,在莫度上搜索不到来此加密官网了。于是了解了一下,确实如此,囧。2、在360搜索,必应搜索,谷歌搜索里,关键词“来此加密”依旧是排名第一。搜索下拉显示,这个操作已经影响了很多用户了。已经有人直接搜索官网了。
windows下部署免费ssl证书(letsencrypt)的方法
09-30
这些证书属于DV(Domain Validated)级别,意味着它们仅验证你对所申请域名的所有权,而不进行更深入的企业验证。 在Windows环境下部署Let's Encrypt证书,你需要使用第三方工具,如`letsencrypt-win-simple`。这个...
Tomcat9使用免费的Https证书加密网站的方法
09-30
- 在FreeSSL.org网站上,输入你的域名并按照指引创建证书申请。这通常涉及到DNS验证,即在你的域名提供商处添加特定的DNS记录以证明你对域名的所有权。 - 验证通过后,下载包含full_chain.pem和private.key的证书...
Tomcat 证书部署.docx
03-19
Tomcat 证书部署需要完成证书申请证书文件的下载和转换、证书安装配置、http 自动跳转到 https安全配置等步骤。在完成这些步骤后,Tomcat 将可以使用 SSL 加密协议来保护数据的安全传输。
信息安全加密技术解决方案.pptx
10-13
为了克服SSL证书的管理难题,MPKI(移动公共密钥基础设施)证书生命周期管理成为了解决方案之一,它能够自动化和大规模地处理证书申请部署和更新,从而减轻了管理负担。此外,通过与安全服务厂商、云计算服务...
SSL证书加密
qq_45215831的博客
06-27 423
什么是SSL证书? 什么是 SSL 证书? SSL 证书就是遵守 SSL 安全套接层协议的服务器数字证书。而 SSL 安全协议最初是由美国网景 Netscape Communication 公司设计开发的,全称为:安全套接层协议 (Secure Sockets Layer) , 它指定了在应用程序协议 ( 如 HTTP 、 Telnet 、 FTP) 和 TCP/IP 之间提供数据安全性分层的机制...
linux里的http的认证加密
zhou562334410的博客
03-24 504
linux里的http的认证加密 HTTP即超文本传输协议     这是一个文件的传输协议,我们上网的时候,所有的文件都是通过HTTP这个协议,从服务器上传输到客户端的电脑里面的。同时HTTP协议工作在应用层,所以想要运行这个协议必须有相应的应用程序支撑。 这里我们就先了解下什么是客户端,什么是服务端 客户端:通常是指我们的浏览器,比如谷歌浏览器、火狐浏览器、IE等,浏览器安装在客户使用的电脑上,所以,在描述http时,客户端通常也代指那些安装了浏览器的电脑。 服务端:通常是指那些安装了web服务软件的计算
国密SSL加密证书获取流程
qq_15077747的博客
10-16 4311
国密CA体系里面,加密密钥对是在CA端产生的,和通常的签名证书流程不一样(签名密钥对通常是用户自己产生的,发送证书请求给CA来申请证书)。 那用户怎么安全获得加密证书和私钥呢?国密规范规定,加密私钥需要通过数字信封使用用户的签名公钥加密。CA将加密私钥密文返回给用户,用户因为有对应的签名私钥,因此只有该用户才可以解开密文,获得加密私钥。过程如下: 1)用户使用U盾产生签名密钥对,生成签名证书请求,发送签名证书请求给CA; 2)CA审核生成签名证书,产生加密密钥对,生成加密证书; 3)CA生成对称密钥
DNS解析、HTTPS加密、HTTP状态码
qq_63284884的博客
07-12 874
DNS解析过程、HTTPS加密、HTTP状态码
SSL/TLS证书自动续签
qq_44539748的博客
07-10 1142
Let’s Encrypt是一个免费的、自动化的证书颁发机构,可以为您的网站提供免费的SSL/TLS证书。通过与Nginx集成,您可以自动获取和更新SSL/TLS证书,确保网站始终拥有有效的加密连接。打开Nginx的配置文件,通常是位于/etc/nginx/nginx.conf或/etc/nginx/conf.d/default.conf。在上述命令中,将/path/to/your/webroot替换为您网站的实际Web根目录,将your_domain.com替换为您的域名。已经安装并配置好Nginx
certbot配置免费证书
weixin_43110668的博客
05-18 773
【代码】【无标题】
申请永久免费的域名SSL证书的方法
osfipin note
10-22 2306
现在主流都在推荐使用SSL证书部署了SSL证书自动激活浏览器显示“锁”型标志,我们可以在浏览器的地址栏看到“https”开头的网址。SSL证书意味着在客户端浏览器和Web服务器之间已建立起一条SSL安全加密通道,,SSL证书为互联网数据传输保驾护航。来此加密平台,集合了目前市面上常用的基于ACME的证书渠道,可以申请多域名和泛域名证书,最长可以拥有6个月的免费证书,支持重新申请自动续签。
ipsecvpn签名证书加密证书可以为同一个证书
01-04
是的,IPSec VPN签名证书加密证书可以为同一个证书。 在IPSec VPN中,签名证书用于验证证书的真实性和完整性,以确保通信的安全性。它包含了签名密钥,用于对证书进行数字签名,并将签名与证书一起传输给对方。接收方使用签名密钥来验证签名的有效性,以确定证书的来源和完整性。 而加密证书则用于加密通信数据,以保护数据的机密性。它包含了加密密钥,用于对通信数据进行加密和解密。发送方使用加密密钥将数据加密后传输,接收方使用相同的加密密钥进行解密,以保护数据的机密性。 由于签名证书加密证书需要使用不同的加密算法和密钥长度,一般情况下会生成两个不同的证书。但是,理论上来说,可以使用相同的密钥对生成签名证书加密证书,从而实现签名和加密功能。 总结来说,IPSec VPN签名证书加密证书可以为同一个证书,但大多数情况下,出于安全考虑,会使用不同的证书来进行签名和加密

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值