Certbot 自动化 SSL 证书安装颁发与配置

已于 2024-07-15 12:04:35 修改
阅读量850 收藏 14
点赞数 11
文章标签: 自动化 ssl 运维 linux
于 2024-07-15 11:52:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/facethepast/article/details/140434471
版权

Certbot 是一个开源工具,用于自动化 Let’s Encrypt 证书的获取和续期。Let’s Encrypt 是一个提供免费 SSL/TLS 证书的认证机构(CA),其目标是使整个 Web 使用加密连接。Certbot 是 Electronic Frontier Foundation (EFF) 的项目,设计用于简化 SSL/TLS 证书的管理。

Certbot 的主要功能

  1. 自动获取证书:Certbot 可以自动与 Let’s Encrypt 服务器通信,验证你的域名所有权,并获取证书。

  2. 自动安装证书:Certbot 可以自动配置大多数 Web 服务器(如 Nginx 和 Apache)以使用获取到的证书。

  3. 自动续期:Let’s Encrypt 证书的有效期为 90 天,Certbot 可以自动续期,确保证书不会过期。

Certbot 的工作原理

  1. 域名验证:Certbot 通过挑战/响应机制验证你对域名的控制权。常见的验证方法包括 HTTP-01 和 DNS-01。

    • HTTP-01 验证:Certbot 会在你的 Web 服务器上创建一个特定的文件,Let’s Encrypt 服务器会尝试访问这个文件来验证域名所有权。

    • DNS-01 验证:Certbot 会在你的域名的 DNS 记录中添加一个特定的 TXT 记录,Let’s Encrypt 服务器会检查这个 DNS 记录来验证域名所有权。

  2. 证书获取:一旦域名验证成功,Let’s Encrypt 服务器会签发一个 SSL/TLS 证书,Certbot 会将其下载到本地。

  3. 证书安装:Certbot 可以配置你的 Web 服务器使用新获取的证书。

  4. 证书续期:Certbot 可以定期检查证书的有效期并自动续期,以确保服务的持续性和安全性。

使用 Certbot 的基本步骤

1. 安装 Certbot:

• 在不同的系统上有不同的安装方法,例如使用 snap、apt、yum 等。
我在用 yum 安装后使用 certbot 获取证书报错了,使用了 snap 安装,这里说一下 snap:

Snap 简介

Snap 是一种由 Canonical 开发的包管理工具,用于在 Linux 系统上安装、管理和更新应用程序。它提供了一种与系统依赖隔离的方式来打包应用程序,从而使软件的安装和升级变得更加简单和可靠。

安装 Snap

如果你的系统还没有安装 snapd(Snap 的后台服务),可以通过以下步骤进行安装:

1. 安装 Snapd

在 CentOS 7 上安装 Snapd 的步骤如下:

sudo yum install epel-release
sudo yum install snapd

安装完成后,启用并启动 snapd 服务:

sudo systemctl enable --now snapd.socket

然后,创建符号链接,使 snap 命令可以在系统路径中被识别:

sudo ln -s /var/lib/snapd/snap /snap
2. 安装 Certbot

使用 snap 安装 Certbot:

sudo snap install --classic certbot

–classic 选项用于允许 Certbot 使用传统的 Unix 文件系统访问权限,这对于 Certbot 的功能是必要的。
接下来就可以使用 certbot 获取证书了

2. 获取证书:

• 使用 certbot certonly 命令获取证书。

• 示例:

certbot certonly --standalone -d example.com  #-d参数后面跟的是域名

执行命令后会让填写&同意一些条款信息:

  1. 填写邮箱,用来通知证书情况
  2. 同意条款
  3. 同意是否给邮箱发送"广告"
  4. 这里会调用服务器 80 端口验证域名,尽量保持80 端口不被占用
3. 配置 Web 服务器:

• 配置你的 Web 服务器(如 Nginx 或 Apache)使用 Certbot 获取的证书。

• 示例的 Nginx 配置:

server {
    listen 80;
    server_name example.com;  #域名地址
    
    # 重定向所有 HTTP 请求到 HTTPS
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name example.com;

    # SSL 证书和密钥文件的路径
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    # SSL 参数
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers HIGH:!aNULL:!MD5;

    # 其他配置
    location / {
        # 你的应用配置
        proxy_pass http://example.com;  #域名地址
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}
4. 自动续期:

• Certbot 默认会安装一个 cron job 或 systemd timer 来自动续期证书。

• 可以手动测试续期:

certbot renew --dry-run

同样会调用本机 80 端口验证,如果 80 端口被占用会报错

常见 Certbot 命令

• 获取证书:

certbot certonly --standalone -d example.com

• 续期证书:

certbot renew

• 检查配置:

certbot certificates

• 删除证书:

certbot delete --cert-name example.com

总结

Certbot 是一个强大的工具,简化了获取和管理 SSL/TLS 证书的过程。它通过自动化验证和续期过程,确保你的网站始终使用最新的安全证书,提供安全的 HTTPS 连接。如果你运行一个网站或服务,使用 Certbot 和 Let’s Encrypt 来管理你的 SSL/TLS 证书是一个值得推荐的选择。

更多信息欢迎访问我的小破站:https://www.aism.love

哈哈泡腾片
关注
免费SSL/TLS域名证书Certbot配置详细过程
RichardLau_Cx的博客
09-05 4713
根据您的命令输出,使用端口8080避免了前面的80端口冲突问题,Certbot验证过程继续进行了下去。这表示您之前已经为example.com生成过证书,并存在默认的证书文件目录/etc/letsencrypt/live/example.com。以上步骤可完成 Certbot 的标准配置Certbot 提供了强大的管理 SSL 证书自动化能力。总体上看,Certbot 已成功帮助获取了新证书,只需要部署到 web 服务器即可完成使用。在清理已存在的旧证书后,就可以重试命令获取新的证书了。
cerbot命令申请免费的ssl证书
梦小梦的博客
09-15 1851
简介: 理论上,我们自己也可以手动制作一个 SSL 安全证书,但是我们自己签发的安全证书浏览器信任,所以我们需要被信任的证书授权中心( CA )签发的安全证书。而一般的 SSL 安全证书签发服务都需要付费,且价格昂贵,不过为了加快推广 https 的普及, EEF 电子前哨基金会、 Mozilla 基金会和美国密歇根大学成立了一个公益组织叫 ISRG ( Internet Security Research Group ),这个组织从 2015 年开始推出了 Let’s Encrypt 免费证书。这个免费证
阿里云服务器 使用Certbot申请免费 HTTPS 证书及自动续期
江湖行骗老中医
04-17 3542
Certbot是一款免费且开源的自动化安全证书管理工具,由电子前沿基金会(EFF)开发和维护,是在Linux、Apache和Nginx服务器上配置和管理SSL/TLS证书的一种机制。Certbot可以自动完成域名的认证并安装证书
certbot_nginx:使用NGINX插件安装certbot的角色
05-04
Certbot NGINX 在Ubuntu 16.04和Ubuntu 18.04上使用NGINX插件安装certbot简单Ansible角色。 该角色将: 添加certbot PPA存储库 安装certbot和python-certbot-nginx软件包 certbot软件包将添加一个renew cron作业和一个systemd-timer() 为给定的domain_name生成“让我们加密SSL证书。 警告 如果您已经安装了Nginx,并且配置了指向/etc/letsencrypt的文件的站点,那么证书创建任务将失败( )。 通常,建议在安装配置Nginx的任何其他角色之前先执行此角色。 角色变量 domain_name : www.mydomain.io letsencrypt_email : myaccount@letsencrypt.org certbot_ngin
centos7 nginx certbot自动续签证书(看这篇就够了)
最新发布
qq_38377190的博客
08-10 916
因为certbot和docker里面的nginx没有控制权限,所以目前 certbot只是起到一个换证书的作用,我们需要新增一个定时任务,去重启nginx,这样证书才会生效。首先我们需要知道一个知识点,certbot 能做到两点,一是获取定时获取证书,保证证书的有效性。安装certbot,需要配置一下nginx(注意:我就是想当然,少了一步找了好久的问题)那么就有一个问题,如果我的nginx是docker部署的,那如何进行reload呢。在nginx上配置一个路径,certbot需要访问的路径。
certbot证书安装
王子,一起秃头吧
09-25 2389
certbot证书SSL证书是一个东西,各大厂商都会有ssl证书的下载流程,但是ssl证书会收费,相比较之下,certbot证书的优点就是免费,可以同时布置多个域名,并且操作步骤十分简单。
Let‘s Encrypt免费安全证书的步骤及使用-基于centos9, 包括工具certbot安装及使用,获取apache、nginx、iis等服务器安全证书
zrc_xiaoguo的博客
12-07 7996
Certbot 是一个由 Electronic Frontier Foundation(EFF)支持的免费、开源的工具,用于自动化获取、部署和更新 HTTPS 证书。它是为了方便使用 Let's Encrypt 服务而开发的,允许用户在 Web 服务器上快速设置 SSL/TLS 加密连接。
Linux之免费证书工具certbot安装和使用
月生的静心苑
07-10 1544
Certbot是一个免费的开源软件工具,用于在手动管理的网站上自动使用Let's Encrypt证书以启用HTTPS。要想让自己的网站启用https协议,需要一个由CA(数字证书认证机构)颁发的,能够让各个浏览器都能承认的SSL安全证书。有很多网站可以申请到免费的SSL证书,比如阿里云,腾讯云等。一般免费证书SSL网站只可以申请二级域名ssl证书,而且有数量限制,有效期也是有限制,比如阿里云是20张有效期3个月二级域名ssl证书,腾讯云是20张有效期1年二级域名ssl证书
certbot 安装ssl证书
qq_40308117的博客
07-13 319
certbot 安装ssl 证书
SSL证书安装.docx
10-09
Certbot是一个开源工具,主要设计用于自动化获取和安装Let's Encrypt颁发SSL证书。Let's Encrypt是一个免费、自动化且开放的证书颁发机构,提供了一种简单的方法来为网站启用HTTPS。要安装certbot,你可以参考以下...
Python_Certbot是eff的工具,可以从Lets Encrypt获取证书,并可选择在服务器上自动启用HTTP.zip
05-23
此工具的主要目标是促进互联网上的安全通信,通过自动化流程帮助用户从Let's Encrypt这样的免费证书颁发机构获取SSL证书。Let's Encrypt是一家非营利组织,致力于提供免费且易于使用的HTTPS证书,从而提高互联网的...
教育科研-学习工具-SSL证书自动化部署方法及设备.zip
08-14
5. **安装证书**:将签发的证书导入服务器,配置相应的设置。 在教育科研环境中,自动化部署SSL证书可以借助各种工具和方法,如: 1. **自动化工具**:使用Puppet、Ansible、Chef等IT基础设施配置管理工具,编写...
letsencrypt-aw:使用Let's Encrypt和Azure Automation自动化Azure应用程序网关SSL证书续订的Powershell脚本
02-02
Let's Encrypt是一个免费、自动化且开放的证书颁发机构,它提供了简单的方式来获取和续签SSL/TLS证书,以确保网站的安全连接。Azure应用程序网关则是一个负载均衡器,它可以处理HTTP/HTTPS流量,为多层应用程序提供...
NamesiloCert:使用Namesilo的API自动执行Certbot(Letsencrypt)DNS证书挑战
05-18
Certbot是Let's Encrypt推出的一个自动化客户端工具,用于获取和安装SSL/TLS证书。然而,当涉及到DNS验证时,手动配置可能会变得繁琐。本文将详细介绍如何使用NamesiloCert工具,结合Namesilo的API和Certbot,实现...
certbot ssl证书
qq_35946335的博客
03-29 204
1.下载安装epel包 yum install epel-release 2.下载安装snap yum install snapd systemctl enable --now snapd.socket 创建软连接 ln -s /var/lib/snapd/snap /snap 下载核心包 sudo snap install core 3.下载安装certbot sudo snap install --classic certbot 4.生成证书 sudo certbot certonly -w
Centos服务器安装Certbot以webroot的方式定时申请SSL免费证书
梦里蓝天
01-06 1607
最近发现原先免费一年的SSL证书都改为3个月的有效期了,原先一年操作一次还能接受,现在3个月就要手动续期整的太慢烦了,还是让程序自动给处理下吧,
Centos7安装Certbot
Tomatoes的博客
05-26 2617
本文主要记叙centos7通过certbot安装免费证书的流程,其他版本系统请参考certbot官网, 如流程不可用即官方更新的最新安装流程,移步参考官网 certbot官网 snap 官网 1.安装snap 在 CentOS 7 中添加 EPEL sudo yum install epel-release 将 EPEL 存储库添加到您的 CentOS 安装后,只需安装snapd软件包: sudo yum install snapd 安装后,需要启用管理主 snap 通信套接字的systemd
Certbot免费证书安装,使用,自动续期
m0_55045698的博客
05-09 486
但是下载可能还是会出毛病,没法下载epel-release,可以自己去官网下,然后放到linux进行安装。可以走到3就结束,1如果wget没法就直接访问后面的官网,去下载rpm文件,上传到linux中也行。首先你得先确认你得linux是那个操作系统,可以用这几个命令试一下。两个弄证书的方式有一丢丢小区别,自己都看一下。把这个1改成0就可以关闭了。然后跟着这两走就没什么问题了。
CertBot
canghaiguzhou的专栏
04-17 1507
CertBot是一个ACME代理, ACME协议是一个证书自动管理环境的协议。以下引自维基百科:The Automatic Certificate Management Environment (ACME) protocol is a communications protocol for automating interactions between certificate authoritie...
局域网怎么配置公共颁发机构颁发SSL证书
07-14
在局域网中配置公共颁发机构颁发SSL 证书,您可以按照以下步骤进行: 1. 购买 SSL 证书:首先,您需要从公共颁发机构购买 SSL 证书。选择一个可信的和受信任的颁发机构,并根据您的需求购买适当的证书类型(如单域名、多域名或通配符证书)。 2. 生成证书签发请求(CSR):在您的服务器上生成一个证书签发请求(CSR)。您可以使用 OpenSSL 等工具生成 CSR。在生成 CSR 时,您需要提供有关您的组织和域名的信息。 3. 提交 CSR 并获取证书:将生成的 CSR 提交给您购买 SSL 证书颁发机构。颁发机构将验证您的身份和域名所有权,然后签署并颁发 SSL 证书给您。 4. 下载证书文件:一旦您的 SSL 证书签发成功,颁发机构会向您提供证书文件。通常,您将获得一个带有 .crt 扩展名的证书文件。 5. 配置 Web 服务器:登录您的 Web 服务器,并将证书文件和私钥文件上传到服务器上。具体操作方式可能会因您所使用的服务器软件而有所不同。 6. 配置 SSL/TLS 设置:在 Web 服务器配置中,找到 SSL/TLS 设置部分,并指定证书文件和私钥文件的路径。您还可以配置其他 SSL/TLS 相关的参数,如加密协议和密码套件。 7. 重新启动 Web 服务器:保存配置更改并重新启动 Web 服务器,以使新的 SSL 证书生效。 8. 测试 SSL 连接:使用浏览器或其他工具,访问您的网站并验证 SSL 连接是否成功建立。确保浏览器显示安全连接标志,并且证书的有效期和域名正确。 请注意,在局域网中配置 SSL 证书时,您需要确保局域网中的所有客户端信任您使用的公共颁发机构,并且已正确安装证书。否则,客户端可能会发出安全警告或无法建立 SSL 连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

哈哈泡腾片

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值