Let's Encrypt 给网站加 HTTPS

最新推荐文章于 2022-09-05 00:51:37 发布
最新推荐文章于 2022-09-05 00:51:37 发布
阅读量583 收藏
点赞数
分类专栏: Nginx 文章标签: security ca 互联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crx05/article/details/75208602
版权

Let’s Encrypt简介

Let’s Encrypt是EFF、Mozilla、Cisco、Akamai、IdenTrust与密西根大学研究人员共同创立的组织,这是一个免费的凭证中心(Certification Authority,CA),目的在于推动全球所有的网站都使用HTTPS加密传输,并由非营利的网际网路安全研究组织Internet Security Research Group(ISRG)负责营运。

对于开发者来说,部署HTTPS是一个双赢的选择,用户可以借此获得更加安全的使用体验,而站点也能够抵御恶意软件的注入或广告追踪。Let’s Encrypt已于2015年12月3日进入公测(Public Beta),所有网站都可以免费获取Let’s Encrypt的证书。

据说Google优先收录带HTTPS加密的网站。

Certbot 简介

Certbot 是Let’s Encrypt官方推荐的获取证书的客户端,可以帮我们获取免费的Let’s Encrypt 证书。Certbot 是支持所有 Unix 内核的操作系统的。Certbot 的官方网站是 https://certbot.eff.org/

获取Let’s Encrypt证书

安装certbot
wget https://dl.eff.org/certbot-auto
chmod a+x ./certbot-auto
./certbot-auto --help

说明:
certbot-auto 和 certbot 本质上是完全一样的;不同之处在于运行 certbot-auto 会自动安装它自己所需要的一些依赖,并且自动更新客户端工具。因此在你使用 certbot-auto 情况下,只需运行在当前目录执行即可

certbot的两种工作方式

certbot (实际上是 certbot-auto ) 有两种方式生成证书:

  • standalone 方式: certbot 会自己运行一个 web server 来进行验证。如果我们自己的服务器上已经有 web server 正在运行 (比如 Nginx 或 Apache ),用 standalone 方式的话需要先关掉它,以免冲突。
  • webroot 方式: certbot 会利用既有的 web server,在其 web root目录下创建隐藏文件, Let’s Encrypt 服务端会通过域名来访问这些隐藏文件,以确认你的确拥有对应域名的控制权。

standalone 方式:

service nginx stop

./certbot-auto certonly --standalone --agree-tos -v -t --email xxx@mail.com -d test.com -d www.test.com

--email:自己的邮箱

-d:域名,可以多个

如果申请成功,证书文件放在了/etc/letsencrypt/live下,获取一次有效期为90天

webroot 方式:

./certbot-auto certonly --webroot --agree-tos -v -t --email xxx@mail.com -w /home/wwwroot/test -d test.com -d www.test.com

-w:网站目录

配置nginx,添加https

server{
    listen 443 ssl;
    server_name test.com www.test.com;
    index index.html index.htm index.php;
    root  /home/wwwroot/test;

    ssl_certificate      /etc/letsencrypt/live/www.test.com/fullchain.pem;
    ssl_certificate_key  /etc/letsencrypt/live/www.test.com/privkey.pem;

}

http请求跳转到https

server {
    listen 80;
    server_name test.com www.test.com;
    return 301 https://$server_name$request_uri;
}

如果用的是standalone方式别忘了重启nginx

service nginx start

自动续签

由于证书有效期是90天,所以我们可以用定时程序去续签

15 2 * */2 * certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start"
  • –pre-hook 这个参数表示执行更新操作之前要做的事情,因为我有 –standalone 模式的证书,所以需要 停止 nginx 服务,解除端口占用。
  • –post-hook 这个参数表示执行更新操作完成后要做的事情,这里就恢复 nginx 服务的启用

nginx部署HSTS

HTTP严格传输安全(HTTP Strict transport security,HSTS),配置浏览器对整个域名空间使用HTTPS来加密,它具备以下优点:

  1. HSTS可以禁止浏览器使用无效证书(浏览器的默认策略是让用户决定是否放行,而用户往往因为不能区分无效是因为配置问题还是攻击而选择继续访问从而导致遭受网络攻击)

  2. HSTS对以下情况可以仍然保持HTTPS通信:

    • 用户保存了原始网站的书签
    • 不安全的Cookie
    • HTTPS 剥离攻击
    • 网站内容混布,但需配合CSP(内容安全策略)

nginx部署HSTS

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

nginx https server完整代码:

server {
   listen xxxx:443 ssl;
   server_name www.test.com;
   add_header Strict-Transport-Security "max-age=31536000;includeSubdomains;preload";
   ….
}
crx05
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Let's Encrypt网站 HTTPS 完全指南certbot - cstopery1
08-03
Let's Encrypt网站 HTTPS 完全指南certbot - cstopery1
使用Certbot续签通配符域名SSL证书报错的解决方法 An authentication script must be provided with --manual-auth-hook
无枫的博客,分享Java及Vue方向的技术文章
12-26 2618
使用Certbot续签通配符域名SSL证书报错An authentication script must be provided with --manual-auth-hook when using the manual plugin non-interactively
certbot-auto报错怎么办?免费泛域名ssl证书自动续期报错。Let’s Encrypt自动续期脚本。
www.shuaibo.wang|王帅博
12-11 1万+
Let’s Encrypt颁发的通配符证书每次续期需要验证一下DNS的TXT记录,这个TXT记录的值是会发生变化的。所以续期时候需要更改下DNS的TXT记录。网上流传的都是php版本的脚本。还要写shell+php,挺麻烦的。这里我自己用go写了一个更新DNS记录的小程序 The error was: PluginError(‘An authentication script must be p...
docker certbot颁发letsencrypt证书
zoeou的博客
06-15 1823
webroot方式配置https证书,定时执行续期 执行certbot certonly webroot方式 nginx被访问 查询结果 查询帮助信息 执行续期证书命令 定时任务自动续期 手动更新证书-日志 问题: 报了以下错误: 解决: 需要把.well-known配置以443端口里
【证书】certbot 工具,自动 letencrypt 通配符证书自动续期(renew)
fwecology的博客
05-21 4124
证书
Certbot免费的HTTPS证书
每天都要开心呀(#^.^#)
09-05 3428
Certbot 是Let’s Encrypt官方推荐的获取证书的客户端,可以帮我们获取免费的Let’s Encrypt 证书。Certbot 是支持所有 Unix 内核的操作系统的
HttpsLet's Encrypt
01-02
Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家...
Let's Encrypt官网一键式免费申请ssl证书脚本
08-30
Let's Encrypt官网一键式免费申请ssl证书脚本, 使用方法是放到linux环境下, 给出执行权限rwx即可 chmod -R 700 certbot-auto , 之后./certbot-auto执行, 过程中会让你选择apache(1)还是nginx(2), 之后还会让你输入...
windows Let's Encrypt工具
08-21
Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,靠谱! 3、Let's Encrypt安装部署简单、方便,目前Cpanel、Oneinstack等面板都已经集成了...
github精选:Let's Encrypt + nginx 配置https
03-29
鉴于小程序的外接API服务器必须基于https协议, 这两天摸索着先拿团队博客来配置。 目前一切OK,在此梳理梳理下基本流程。 wget https://dl.eff.org/certbot-auto // 获取certbot-auto 客户端 git clone git@...
Let's Encrypt 证书申请
liuhelong的专栏
05-14 407
获取Certbot # https://certbot.eff.org/docs/install.html#system-requirements wget https://dl.eff.org/certbot-auto # 查看帮助 ./certbot-auto -h 创建证书 # 会自动安装依赖 # 创建通配弄证书 ./certbot-auto certonly -d *.bitgap....
无80端口情况下使用 CertBot 申请SSL证书 并实现自动续期
conghua19的博客
08-05 1万+
443端口不知道是电信不想封还是怎么样,一直无需备案就能开启对外服务。而443端口就必须使用合法的 SSL 证书,合法的 SSL 证书很多,我一直在使用 letsencrypt 提供的SSL证书服务。但是 letsencrypt 的证书只有90天的有效期,必须在有效期内 renew,否则过期了只好重新申请了。申请 letsencrypt 证书网上一堆都是需要开放 80 端口才能申请,其实 Cert...
Certbot 生成 ssl 证书
beyond__devil的博客
06-17 7362
certbot 是用来申请 Let's Encrypt 免费 SSL 证书 一般的免费 SSL 证书,好像都是使用 Let's Encrypt 颁发的证书。官网地址: https://letsencrypt.org/ Let's Encrypt 使用 ACME 协议来认证我们域名,并颁发证书。要获取 Let's Encrypt 证书,我们需要选择一个 ACME 客户端软件。官方推荐的是 C...
Let's Encrypt证书生成,certbot-auto 生成ssl通用证书 配置https 自动续期
lihao19910921的专栏
08-09 1万+
Let’s Encrypt是一个 CA 机构,但这个 CA 机构是免费的!!!签发证书不需要任何费用, 为了实现通配符证书,Let’s Encrypt 对 ACME 协议的实现进行了升级,只有 v2 协议才能支持通配符证书。 https://certbot.eff.org/ 证书生成工具, 我们可以通过网站选择对应的系统软件来生成。 我们通过certbot-auto自动生成工具来操作。 ...
如何选购 SSL 证书(附免费SSL证书申请攻略)
七牛云——开发者的创新加速引擎
12-01 959
谷歌从 2017 年起,Chrome 浏览器将也会把采用 HTTP 协议的网站标记为「不安全」网站;苹果从 2017 年 iOS App 将强制使用 HTTPS;在国内热火朝天的小程序也要求必须使用 HTTPS 请求。想想我原本好好的一个个人博客,因为没有部署 HTTPS,顶着个「不安全」的红帽子……
申请Let‘s Encrypt永久免费SSL证书
热门推荐
栗少的博客
07-09 2万+
Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家入和赞助支持。 Let's Encrypt免费SSL证书的出现,也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止,Let's Encrypt获得IdenTrust交叉签名,这就是说可以应用且支持包括FireFox、Chrome在内的主流浏览
OneinStack部署https网站(Let’s Encrypt证书)
php菜鸟技术天地
12-26 4470
et's Encrypt是一个由电子前哨基金会、Mozilla基金会、Akamai、密歇根大学、思科联合发起的一个项目。它旨在为站长提供一个免费的、完全自动化的证书申请过程,从而让整个互联网都能享受到HTTPS密。Let’s Encrypt的证书申请过程非常简单、安全、快速、自动化并且免费。Let’s Encrypt是一个中间CA,它的CA证书由IdenTrust签发。IdenTrust是一个R...
安全套接字层证书市场现状研究分析-
GEMMAKO的博客
03-08 125
辰宇信息咨询市场调研公司最近发布-《2022-2028中国安全套接字层证书市场现状研究分析与发展前景预测报告》 内容摘要 本文研究中国市场安全套接字层证书现状及未来发展趋势,侧重分析在中国市场扮演重要角色的企业,重点呈现这些企业在中国市场的安全套接字层证书收入、市场份额、市场定位、发展计划、产品及服务等。历史数据为2017至2021年,预测数据为2022至2028年。 2021年中国安全套接字层证书市场销售收入达到了 万元,预计2028年可以达到 万元,2022-2028期间年复合增长率(CAG.
Let's Encrypt网站 HTTPS 完全指南certbot
cstopery
07-14 1万+
Let's Encrypt网站 HTTPS 完全指南 29 MAY 2016 前段时间在北京联通3G移动网络下,发现自己的站点被联通劫持注入恶心的话费充值广告,决定让我的网站强制使用 HTTPS,避免 ISP 劫持。 使用 HTTPS 前的一些疑惑 现在是 2016 年,使用 HTTPS 已经不像几年前是一件昂贵的事情。当然我也是自己了解了一圈才消除了自己的疑惑,主要是: 我的
如何使用免费的Let's Encrypt证书来实现HTTPS协议的支持
最新发布
06-09
以下是使用免费的Let's Encrypt证书实现HTTPS协议的支持的步骤: 1. 安装Certbot客户端:Certbot是一...同时,您也可以将使用Let's Encrypt证书的域名添到微信小程序的合法域名配置中,以便小程序可以访问您的网站

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值