阿里云服务器 使用Certbot申请免费 HTTPS 证书及自动续期

已于 2024-01-05 16:47:48 修改
阅读量7.9k 收藏 39
点赞数 22
文章标签: 阿里云 服务器 https
于 2024-01-05 15:01:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongchen006/article/details/135406416
版权

前言

Certbot是一款免费且开源的自动化安全证书管理工具,由电子前沿基金会(EFF)开发和维护,是在Linux、Apache和Nginx服务器上配置和管理SSL/TLS证书的一种机制。Certbot可以自动完成域名的认证并安装证书。

一、 安装软件

1.1安装 Certbot
yum install epel-release -y
yum install certbot -y

如果提示
在这里插入图片描述
需要重新安装 python-urllib3
此时需要将原来的 Python 文件备份,或者删除,这里使用了备份

 mv /usr/lib/python2.7/site-packages/urllib3/packages/ssl_match_hostname /usr/lib/python2.7/site-packages/urllib3/packages/ssl_match_hostname.bak

然后再执行安装 python-urllib3

yum install python-urllib3 -y

成功之后:
在这里插入图片描述

二、生成证书

域名分为主域名和泛域名;例如百度主域名为: baidu.com ; 百度其他的二级域名的泛域名为: *.baidu.com
执行以下命令生成证书:

# 泛域名:
certbot certonly -d *.使用自己的域名替换.com --manual --preferred-challenges dns

# 主域名:
certbot certonly -d 使用自己的域名替换.com --manual --preferred-challenges dns

会提示你输入邮箱,用来做想过通知,尽量使用自己的邮箱就行,不建议乱输入
在这里插入图片描述
一直点 y 同意使用协议,同意邮箱接收信息,然后会提示需要 配置 DNS TXT 解析记录
在这里插入图片描述
我这儿是阿里云,阿里云配置 DNS TXT 解析记录如下:

进入阿里云控制中心 ——》 找到域名解析设置 ——》 添加新纪录 :
记录类型选择 TXT-文本
主机记录填入控制台提供的二级域名: _acme-challenge
解析请求来源选择默认
记录值填入上面控制台打印出来的记录值: v4fa*********************8AoIeM(使用自己控制台的值,不要复制文档,文档仅供参考)
然后 保存,等待生效即可
在这里插入图片描述
配置好之后,按回车继续
等待结果相应:
在这里插入图片描述

此时,证书就已经生成成功了,但是只有三个月有效期

三、配置ngnix

我的域名都是使用ngnix反向代理的,所以这里就使用ngnix最配置

server {
        listen       443 ssl;
        server_name	www.test.替换自己的域名.cn test.替换自己的域名.cn;

        # ssl证书地址
        ssl_certificate /etc/letsencrypt/live/yunyechuang.cn/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/yunyechuang.cn/privkey.pem;

        # ssl验证相关配置
        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
		# 反向代理的服务
        location /secretWJJ {
            proxy_pass http://127.0.0.1:7011;
        }
    }

在 ngnix 目录下执行

# 检查NGINX配置是否正确
./sbin/nginx -t

在这里插入图片描述
文件正确,重启 NGINX

./sbin/nginx -s reload

使用 https 协议 再次访问你的域名,发现链接已经是安全的了
在这里插入图片描述

四、续期

Certbot 是使用的Let’s Encrypt申请的免费证书,只有 3 个月的有效期,到期之后我们需要再次续期才能继续使用 HTTPS 协议。

4.1 手动续期

你需要自己记录证书到期的时间,在证书到期之前,从新生成一个新的证书

certbot certonly -d *.替换自己的域名.com --manual --preferred-challenges dns

然后根据步骤三中的 DNS TXT 解析 步骤再配置一次即可,证书保存位置没有变化的话,NGNIX 不需要更新配置。

4.2 自动续期(待验证)

每次都手动配置 DNS 解析挺麻烦的,而且还容易遗忘,更新不及时容易造成服务崩坏。

certbot 提供了一个 hook,可以编写一个 Shell 脚本,在需要续期的时候让脚本调用 DNS 服务商的 API 接口动态添加 TXT 记录,验证完成后再删除此记录,达到自动续期的效果。

我使用的是阿里云服务,找到 justjavac 大神写好的脚本:
GitHub 项目 certbot-dns-aliyun
项目地址: https://github.com/justjavac/certbot-dns-aliyun
安装和使用指南大神在README 中有详细说明,一下部分内容也是从 README 中复制过来的(如有侵权请联系本人,立马删除)

4.2.1 使用 上诉脚本,需要配置阿里云凭证信息

点击阿里云头像 ——》 控制访问 ——》创建一个拥有DNS权限的用户
这个用户不用太多权限,所以有 OpenAPI 的调用访问即可
在这里插入图片描述
创建完成后,在用户界面能看到 用户对应的AccessKey ID和AccessKey Secret了(注意,记得保存这两个值,界面更新AccessKey Secret会消失),如果没有保存导致这两个值消失,点击新创建的用户名称,进入详情页,创建新的来替代
在这里插入图片描述

刷新界面后,可为用户添加权限
在这里插入图片描述
权限只需要有 阿里云的DNS 操作权限即可
在这里插入图片描述

进入阿里云主机控制台
1) 安装 aliyun cli 工具

wget https://aliyuncli.alicdn.com/aliyun-cli-linux-latest-amd64.tgz
tar xzvf aliyun-cli-linux-latest-amd64.tgz
sudo cp aliyun /usr/local/bin
rm aliyun

2) 将拥有 DNS 权限的角色配置到云服务器中

cd aliyun /usr/local/bin
aliyun configure --profile akProfile

配置会进入交互式内容,如下输入完成配置:

Configuring profile 'akProfile' in '' authenticate mode...
Access Key Id []: 在这里输入刚新建角色的 Access Key 然后回车进入下一项
Access Key Secret []: 在这里输入刚新建角色的 Access Key Secret 然后回车进入下一项
Default Region Id []: cn-hangzhou 
Default Output Format [json]: json (Only support json))
Default Language [zh|en] en:
Saving profile[akProfile] ...Done.

出现如下界面,配置完成:
在这里插入图片描述

4.2.2 安装 certbot-dns-aliyun 插件
wget http://cdn.jsdelivr.net/gh/justjavac/certbot-dns-aliyun@main/alidns.sh
sudo cp alidns.sh /usr/local/bin
sudo chmod +x /usr/local/bin/alidns.sh
sudo ln -s /usr/local/bin/alidns.sh /usr/local/bin/alidns
rm alidns.sh
4.2.3 测试是否能正确申请
certbot certonly -d *.替换自己的域名.com --manual --preferred-challenges dns --manual-auth-hook "alidns" --manual-cleanup-hook "alidns clean" --dry-run

正式申请时去掉 --dry-run 参数:

certbot certonly -d *.example.com --manual --preferred-challenges dns --manual-auth-hook "alidns" --manual-cleanup-hook "alidns clean"

证书续期

certbot renew --manual --preferred-challenges dns --manual-auth-hook "alidns" --manual-cleanup-hook "alidns clean" --dry-run

自动续期,添加定时任务 crontab。

crontab -e

输入

1 1 */1 * * root certbot renew --manual --preferred-challenges dns --manual-auth-hook "alidns" --manual-cleanup-hook "alidns clean" --deploy-hook "nginx -s reload"

end

你还没有服务器和域名,感觉买个试试:
阿里云服务爆款特惠 https://www.aliyun.com/minisite/goods?userCode=6ccum0sw
如果还没有云服务,却想练练手的,可以尝试阿里云的试用服务器:
阿里云免费试用 https://free.aliyun.com?userCode=6ccum0sw

洛祁枫
关注
Certbot 生成 SSL 证书并配置自动续期
weixin_50848244的博客
09-12 1129
之前都是用阿里或者腾讯的免费证书,但是现在域名有点多,还不支持通配符所以根本就不够用,用这个先顶着,老板也是贼抠门,有问题直接沟通
配置centos下nginx ssl证书自动续期certbot申请泛域名证书Let‘s Encrypt免费证书)
qq_38776651的博客
10-22 1058
输入:certbot certonly --preferred-challenges dns --manual -d *.baidu.com --server https://acme- v02.api.letsencrypt.org/directory --register-unsafely-without-email。#可以用dig -t txt _acme-challenge.xx.cn验证解析是否生效, -------如无dig命令需要用yum install bind-utils。
certbot证书自动续签
cuwill的博客
05-11 1347
renew-hook:证书更新完毕后,将关闭的nginx启动。(没有加入系统路径的要带上路径,如:/usr/local/nginx/sbin/nginx)2.在到期前30天之内才能续期,否则certbot会判断没有必要进行续期。–force-renewal:强制更新证书,无视30天之内限制。1.80端口没有被占用,因为更新证书需要用到80端口。certbot的证书有效期为90天,手动续期
certbot-dns-aliyun:阿里云DNS的certbot插件,使用解决阿里云DNS不能自动为通配符证书续期的问题
03-03
certbot-dns-aliyun 解决阿里云DNS不能自动为通配符证书续期的问题 原理 每个certbot申请的证书有效期为3个月,虽然certbot提供了贴心的自动续期命令,但是当我们把自己续期命令配置为定时时,我们需要手动添加TXT记录。任务时,我们无法手动添加TXT记录。 好在certbot提供了一个钩子,可以编写一个Shell脚本,让脚本调用DNS服务商的API接口,动态添加TXT记录。 安装 安装aliyun cli工具 wget https://aliyuncli.alicdn.com/aliyun-cli-linux-latest-amd64.tgz tar xzvf aliyun-cli-linux-latest-amd64.tgz sudo cp aliyun /usr/local/bin 安装完成后需要配置 安装certbot-dns-aliyun插件 wget h
Systemd 定时执行 Certbot 自动续期
最新发布
qq_56694800的博客
03-19 239
【代码】Systemd 定时执行 Certbot 自动续期[特殊字符]
使用certbot申请免费HTTPS证书及自动续期
weixin_43425561的博客
05-26 2428
申请免费HTTPS 证书,您可以使用 Let’s Encrypt 这样的证书颁发机构。Let’s Encrypt 证书的有效期为 90 天,因此您需要设置自动续期以确保证书不会过期。您可以使用 Certbot自动续期功能,或者设置一个定时任务来定期更新证书。运行此命令以获取证书,并让 Certbot 自动编辑您的 nginx 配置以提供证书,只需一步即可打开 HTTPS 访问。在计算机上的命令行上执行以下指令,以确保可以运行该命令。在计算机上的命令行上运行此命令以安装 Certbot
使用Certbot申请免费 HTTPS 证书及自动续期
ss810540895的博客
01-03 2169
Certbot是一款免费且开源的自动化安全证书管理工具,由电子前沿基金会(EFF)开发和维护,是在Linux、Apache和Nginx服务器上配置和管理SSL/TLS证书的一种机制。Certbot可以自动完成域名的认证并安装证书。
【一分钟】轻松搞定,SSL证书自动续签,解决阿里云SSL免费证书每3个月失效问题
qq_34004242的博客
05-16 3882
介绍支持特点Stage 1:ssh登录阿里云 ECSStage 2:进入nginx (docker)容器Stage 3:执行如下指令Stage 3-1:更新 apt-getStage 3-2:安装 curlStage 3-3:登录httpsok官网获取部署指令Stage 3-4:在nginx容器中执行部署指令Stage 4:进入官网,查看nginx证书信息Stage 5:添加DNS解析Stage 5-1:httpsOk官网查看需要添加的DNS解析。
certbot申请https证书
晚来天欲雪
08-07 259
安装certbot yum install epel-release yum install snapd systemctl enable --now snapd.socket ln -s /var/lib/snapd/snap /snap snap install --classic certbot #以上内容借鉴博客 https://blog.csdn.net/qq_27346503/article/details/114188857 申请证书 nginx -s stop #申请之前一定要停掉ngi
使用 Certbot 免费续期阿里云 SSL 证书
kuang_wu的专栏
02-18 997
Certbot 续期阿里云 DNS 解析的 SSL 证书,并设置自动续期任务。
certbot自动续期阿里云SSL证书并重启nginx
liuyeluoqing的博客
12-28 486
certbot自动续期阿里云SSL证书并重启nginx
certd:免费泛域名通配符域名SSL证书全自动申请续期、部署,Automatically apply, renew and deploy free Generic domain SSL Certificates
05-05
自动部署证书(目前支持服务器上传部署、阿里云、腾讯云等) 可与CI/DI工具结合使用 免费证书申请说明 本项目ssl证书提供商为letencrypt 申请过程遵循acme协议 需要验证域名所有权,一般有两种方式(目前本项目仅...
阿里云(域名解析) certbot 证书配置
TaLinBoy的博客
06-07 1195
1、命令:sudo certbot certonly -d “域名” -d “*.域名” --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory。2、进入/etc/letsencrypt/live/file.data-flop.com/,拿到ssl证书文件,配置到192.168.0.1地址的项目就可以了。2、配置域名-IP解析(项目使用的域名)1、配置域名SSL解析。
阿里云SSL免费证书到期自动申请部署程序
李浩洋
02-22 1510
阿里云免费证书只有3个月的有效期,不注意就过期了,还要手动申请然后部署,很是麻烦,于是写了这个小工具。上班期间抽空写的,没有仔细测试,可能存在一些问题,大家可以自己clone代码改改,或者联系我改。
Certbothttps证书自动续期,还免费
tiantian1980的专栏
02-01 1074
如果使用操作系统包管理器(如 、 或 )安装了任何 Certbot 软件包,则应在安装 Certbot snap 之前将其删除,以确保在运行命令时使用快照而不是从操作系统安装 包管理器。执行此操作的确切命令取决于您的操作系统,但是 常见的示例包括 、 或。系统上的 Certbot 软件包附带一个 cron 作业或 systemd 计时器,该计时器将在证书过期之前自动续订证书。运行此命令以获取证书,并让 Certbot 自动编辑您的 nginx 配置以提供该证书,只需一步即可打开 HTTPS 访问。
阿里云安装certbot-auto
tianfs的专栏
01-08 6470
安装certbot-auto就是被各种折腾, 好不容易来到这一步: Reading package lists... Done Building dependency tree Reading state information... Done dialog is already the newest version. gcc is already the newest vers
使用certbot申请https通配符证书【阿里云篇】
weixin_38650077的博客
01-31 2813
解决阿里云 DNS 不能自动为通配符证书续期的问题。
使用cerbot申请免费https证书
陈崇洋的博客
02-11 2849
资源链接 cerbot申请免费https证书指导官网 以nginx+centos7为例子,其他版本请自行查询官网 进入cerbot官网 安装snapd,如果已安装请忽略 官方安装指导 官方指导核心步骤如下,以下为centos7为例,其他版本请自行参考官网说明 # 安装epel组件 yum install epel-release # 安装snapd yum install snapd # 启用snapd systemctl enable --now snapd.socket #创建snapd符号连接
阿里云ssl证书自动续期
03-08
### 实现阿里云SSL证书的自动续期配置 #### 使用 Certbot 和 Aliyun CLI 进行 SSL 证书自动续期 为了实现阿里云 SSL 证书的自动续期,可以采用 `Certbot` 结合 `Aliyun DNS API` 的方式来完成这一过程。具体来说: 安装必要的工具包是第一步,在此过程中需要先部署 `aliyun cli` 工具以及 `certbot-dns-aliyun` 插件[^1]。 ```bash pip install --upgrade pip pip install certbot-dns-aliyun ``` 接着设置环境变量以便于后续操作中调用阿里云API接口所需的身份验证信息。 ```bash export ALIBABA_CLOUD_ACCESS_KEY="your-access-key" export ALIBABA_CLOUD_SECRET_KEY="your-secret-key" ``` 申请新的 SSL 证书可以通过执行如下命令来进行,这里指定了域名解析服务商为阿里云DNS,并设置了相应的参数用于指定要保护的具体域名单元。 ```bash certbot certonly \ --dns-aliyun \ --dns-aliyun-propagation-seconds 60 \ -d example.com -d www.example.com ``` 对于已经存在的证书文件夹路径 `/etc/letsencrypt/live/example.com/` 下面包含了私钥和公钥等重要资料,这些都将被用来配合Nginx或其他Web服务器软件一起工作以提供HTTPS服务支持。 为了让整个流程更加自动化,还可以编写一个简单的脚本来定期检查并尝试更新现有的SSL证书。通常情况下会将此类任务安排到系统的定时任务计划当中去执行,比如Linux下的Cron Jobs就是一种非常方便的选择之一。 编辑crontab文件加入下面这行代码可以让系统每天凌晨两点钟自动检测是否有可用的新版证书可供替换旧版本使用。 ```bash 0 2 * * * /usr/bin/certbot renew --quiet && systemctl reload nginx ``` 上述命令不仅实现了对Let's Encrypt颁发给我们的短期有效期SSL凭证的有效管理;同时也确保了当有新版本发布时能及时获取最新安全补丁从而更好地维护站点安全性。 最后需要注意的是自2023年起,阿里云官方已将其所提供的免费型SSL产品生命周期缩短至90天以内,因此建议广大开发者朋友们尽早规划好各自的证书轮换策略以免影响线上业务正常运转[^2]。 通过以上介绍的方法,可以有效地简化SSL证书管理和维护的工作量,提高效率的同时也增强了网站的安全防护能力[^3]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值