透過Certbot為Apache網站申請憑證

已于 2024-05-03 17:30:04 修改
阅读量923 收藏 1
点赞数
分类专栏: Linux 文章标签: ubuntu linux docker https apache
于 2021-01-11 10:38:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keineahnung2345/article/details/112462659
版权
本文介绍在Ubuntu 20.04的Docker容器内,使用Apache2搭建的网站申请HTTPS证书的方法。包括安装Certbot的不同方式、获取并安装证书、测试自动更新、检查到期日、扩展域名、重定向设置、撤销操作、相关指令使用以及修改Apache2支持的SSL/TLS版本等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

透過Certbot為Apache網站申請憑證

前言

筆者在Ubuntu 20.04的docker container內用Apache2架了一個網站(已有domain name),本來只能透過http訪問,參考certbot instructions - Apache on Ubuntu 20.04為它申請憑證後,就能透過https訪問了。

安裝certbot

透過apt

certbot instructions - Apache on Ubuntu 20.04中要求我們先安裝snap,然後再透過snap安裝certbot,但是根據Unable to install snapcraft snap in docker image(ubuntu:19.10)),似乎沒有簡單的方式能在docker內安裝snap

以下是筆者嘗試過行不通的路(Installing snap on Ubuntu):

sudo apt install snapd -y
sudo snap install hello-world

會出現以下錯誤:

error: cannot communicate with server: Post http://localhost/v2/snaps/hello-world: dial unix /run/snapd.socket: connect: no such file or directory

後來發現certbot instructions - Apache on Ubuntu 20.04只是建議讀者用snap安裝certbot,因此snap並不是必要的,透過apt安裝certbot也可以:

apt-get install -y certbot

透過snap

根據Installing snapd,Ubuntu 20.04中自帶snap,如果是在一般的機器上,可以使用以下指令安裝certbot

sudo snap install core
sudo snap refresh core
sudo apt remove certbot
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot

獲取並安裝certificates

透過以下指令獲取並安裝certificates

certbot --apache

過程中會需要輸入domain name。
get and install certificates

測試憑證的自動更新

透過以下指令測試憑證的自動更新:

sudo certbot renew --dry-run

Test automatic renewal

檢查憑證到期日

參考How to find Certifications Expiry Date,使用以下指令檢查:

sudo openssl x509 -dates -noout -in /etc/letsencrypt/live/<your_domain_name>/cert.pem

輸出如下:

notBefore=Jul 13 00:06:28 2021 GMT
notAfter=Oct 11 00:06:27 2021 GMT

擴展到其它domain name

上面只為example.com申請了憑證,如果使用Firefox拜訪https://www.example.com會出現如下提示:
www

這代表我們需要為www.example.com申請一個憑證。我們可以使用如下指令來將之前申請過的憑證拓展到www.example.com:

sudo certbot certonly --standalone -d example.com -d www.example.com

如果中途出現以下錯誤:

Problem binding to port 80: Could not bind to IPv4 or IPv6

則需先關掉Apache:

service apache2 stop

以下為成功執行的log:
renewal

redirect http to https and www to non-www

如果想將:

http://example.com
http://www.example.com
https://www.example.com

都重導向至:

https://example.com

查看/etc/apache2/sites-available/目錄,下面應該會有一個<website>-le-ssl.conf,它是基於<website>.conf,由Let’s Encrypt自動生成的:

<IfModule mod_ssl.c>
<VirtualHost *:443>
    DocumentRoot /your/document/root
    PassengerRoot /usr/share/rvm/gems/ruby-2.7.0/gems/passenger-6.0.7
    PassengerDefaultRuby /usr/share/rvm/gems/ruby-2.7.0/wrappers/ruby
    PassengerUser redmine

    <Directory /your/document/root>
      AllowOverride all # added
      Allow from all
      Options -MultiViews
      Require all granted
    </Directory>

ServerName example.com
Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
</VirtualHost>
</IfModule>
<IfModule mod_ssl.c>
<VirtualHost *:80>
    DocumentRoot /your/document/root

    PassengerRoot /usr/share/rvm/gems/ruby-2.7.0/gems/passenger-6.0.7
    PassengerDefaultRuby /usr/share/rvm/gems/ruby-2.7.0/wrappers/ruby
    PassengerUser redmine

    <Directory /your/document/root>
      AllowOverride all # added
      Allow from all
      Options -MultiViews
      Require all granted
    </Directory>

</VirtualHost>
</IfModule>

由certbot自動生成的<website>-le-ssl.conf如下:

<IfModule mod_ssl.c>
<VirtualHost *:443>
    DocumentRoot /your/document/root

    PassengerRoot /usr/share/rvm/gems/ruby-2.6.6/gems/passenger-6.0.8
    PassengerDefaultRuby /usr/share/rvm/gems/ruby-2.6.6/wrappers/ruby
    PassengerUser redmine

    <Directory /your/document/root>
      Allow from all
      Options -MultiViews
      Require all granted
    </Directory>

ServerName example.com
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>
</IfModule>

<VirtualHost *:443><VirtualHost *:80><Directory /your/document/root>區塊內都加上這一行,來啟用等一下會新建的.htaccess文件:

AllowOverride all

然後到/your/document/root,新增一個.htaccess文件,內容如下:

RewriteEngine On

RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} ^www\. [NC]
RewriteCond %{HTTP_HOST} ^(?:www\.)?(.+)$ [NC]
RewriteRule ^ https://%1%{REQUEST_URI} [L,NE,R=301]

最後再重啟Apache即可:

service apache2 restart

透過Chrome測試

按F12,點選下面的Network Conditions標籤頁,在Caching這一欄把Disable cache勾起來。
前往http://example.com,http://www.example.com,https://www.example.com中的其中一個網址,按F5後應該要有一行的Status是301。

透過Firefox測試

按F12,點選工具箱選項,在進階設定裡把停用HTTP快取(開啟工具箱時)勾起來。

undo

可參考A command to undo my CertBot command (to uninstall the cert stack)?

certbot相關指令

How to totally remove a certbot-created SSL certificate?

列出所有證書:

sudo certbot certificates

刪除之前所申請的證書:

sudo certbot delete --cert-name <domain_name>

在已有domain name和證書的情況下,再為另一個domain name申請證書

Certbot add www domain to existing domain certificate

sudo certbot certonly --cert-name <new_domain_name> -d <new_domain_name>                                                                                                              

Saving debug log to /var/log/letsencrypt/letsencrypt.log

How would you like to authenticate with the ACME CA?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: Apache Web Server plugin (apache)
2: Runs an HTTP server locally which serves the necessary validation files under
the /.well-known/acme-challenge/ request path. Suitable if there is no HTTP
server already running. HTTP challenge only (wildcards not supported).
(standalone)
3: Saves the necessary validation files to a .well-known/acme-challenge/
directory within the nominated webroot path. A seperate HTTP server must be
running and serving files from the webroot path. HTTP challenge only (wildcards
not supported). (webroot)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-3] then [enter] (press 'c' to cancel): 3

此處如果選擇webroot選項,接下來會需要輸入有index.html的目錄,這裡填入/var/www/html

Requesting a certificate for <new_domain_name>
Input the webroot for <new_domain_name>: (Enter 'c' to cancel): /var/www/html

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/<new_domain_name>/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/<new_domain_name>/privkey.pem                                                                                                                                    This certificate expires on <new_expiration_date>.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

修改Apache2支援的SSL/TLS版本

編輯/etc/apache2/mods-available/ssl.conf,將:

        SSLProtocol all -SSLv3

改成:

        SSLProtocol +TLSv1.2

可解決NVT: SSL/TLS: Deprecated TLSv1.0 and TLSv1.1 Protocol Detection的問題。

參考disable Secure Renegotiation in apache httpd 2.4,如欲解決NVT: SSL/TLS: Renegotiation DoS Vulnerability (CVE-2011-1473, CVE-2011-5094)的問題,編輯/etc/apache2/sites-available/redmine-le-ssl.conf,加入:

SSLOptions +StrictRequire +StdEnvVars -OptRenegotiate

之後重啟apache2:

systemctl restart apache2

參考連結

certbot instructions - Apache on Ubuntu 20.04

Installing snap on Ubuntu

Letsencrypt certificate for www and non-www domain

Is this a correct way to enable htaccess in Apache 2.4.7

Redirect HTTP to HTTPS in Apache

Let‘s Encrypt免费安全证书的步骤及使用-基于centos9, 包括工具certbot安装及使用,获取apache
2401_84166702的博客
04-09 949
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。–dry-run 参数用于模拟测试,以验证证书是否能够成功获取,但不会实际安装证书。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
certbot--apache
weixin_43945743的博客
01-02 1177
在python2.7的基础之上 使用certbot来安装网站证书支持https 官网教程 https://certbot.eff.org/ 安装包 wget https://dl.eff.org/certbot-auto nginx 网站下 首先得有virtualhost 配置虚拟站点,启用Namevirtualhost监听433端口 apache采用的yum安装 vim /etv/httpd/c...
PHP访问Apache的SSL
冯方方的专栏
03-03 357
一、证书制作 1、证书制作前的准备工作 下载openvpn-2.1.1(http://openvpn.net/release/openvpn-2.1.1-install.exe),并在windows上安装。 进入C:\Program Files\OpenVPN\easy-rsa目录,首先运行init-config ,该命令生成vars.bat,我们可以对vars.bat中的KEY_COUNT...
使用 Certbot 自动获取和更新 Let‘s Encrypt SSL 证书
最新发布
李赛赛的专栏
02-19 2357
🔎Certbot是一个由 EFF(电子前沿基金会)开发的自动化工具,用于获取和部署证书。它支持多种操作系统和Web服务器(如ApacheNginx等),并且能够自动配置服务器以使用SSL证书。Certbot是一个强大且易于使用的工具,能够帮助用户轻松获取和更新证书。通过本文的介绍,你应该已经掌握了如何安装Certbot、获取SSL证书、配置Web服务器以及设置自动更新。希望本文能帮助你更好地保护你的网站数据传输安全。如果你有任何问题或建议,欢迎在评论区留言讨论!Certbot 官方文档。
linux apache certbot,在Debian 10服务器上加密保护Apache(配置Let's Encrypt SSL证书)
weixin_42411003的博客
05-14 465
本文介绍在Debian 10操作系统上加密来保护Apache服务器,即配置及更新免费的Let's Encrypt SSL证书,同时配置Apache以使用SSL证书并启用HTTP/2,我们可以从安装Certbot开始。先决条件在继续操作之前,请确保满足以下先决条件:1、以root或具有sudo特权的用户身份登录。2、您要获取SSL证书的域必须指向您的公共服务器IP,我们将使用example.com,...
Let‘s Encrypt免费安全证书的步骤及使用-基于centos9, 包括工具certbot安装及使用,获取apache、nginx、iis等服务器安全证书
zrc_xiaoguo的博客
12-07 9589
Certbot 是一个由 Electronic Frontier Foundation(EFF)支持的免费、开源的工具,用于自动化获取、部署和更新 HTTPS 证书。它是为了方便使用 Let's Encrypt 服务而开发的,允许用户在 Web 服务器上快速设置 SSL/TLS 加密连接。
linux apache certbot,从操作系统软件包安装Certbot
weixin_30581253的博客
05-14 413
Arch Linuxsudo pacman -S certbotDebian如果你运行Debian Buster或Debian testing/Sid,则可以通过以下命令轻松安装certbot软件包:sudo apt-get updatesudo apt-get install certbot如果你运行Debian Stretch,我们建议你使用Debian backports仓库中的软件包,首先...
PyPI 官网下载 | certbot-apache-0.9.0.tar.gz
01-31
`PyPI`(Python Package ...总的来说,`certbot-apache-0.9.0.tar.gz`是Python开发者和系统管理员为Apache服务器实现自动SSL/TLS管理的一个重要工具,通过简化证书获取和配置流程,极大地提升了网络安全性和易用性。
PyPI 官网下载 | certbot_apache-0.38.0-py2.py3-none-any.whl
02-03
`certbot_apache` 是Certbot的一个特定于Apache的插件,使得Certbot能够与Apache服务器进行交互,执行证书申请、安装和更新等任务。 **Python版本兼容性**:包名中的`py2.py3-none-any`表示该包兼容Python 2和...
使用Certbot申请免费泛域名SSL证书
ocfbnj的博客
08-15 1995
文章目录使用certbot申请免费泛域名SSL证书测试环境预备需求详细步骤将证书配置到服务器 使用certbot申请免费泛域名SSL证书 测试环境 Ubuntu Server 20.04 阿里云域名 cerbot版本1.7.0 其他环境请参考cerbot指南https://certbot.eff.org/instructions 预备需求 域名 root权限 详细步骤 登录到服务器 安装snapd(ubuntu 20.04已经默认安装,如果没安装请参考https://snapcraft.io
Amazon Linux使用pip安装certbot并使用Apache配置证书
weixin_58410911的博客
11-04 960
完成以上步骤后,你的WordPress站点应该已经配置好域名和SSL证书,并通过HTTPS安全访问。由于Augeas安装问题导致Apache插件无法工作,您可以尝试以下步骤来解决这个问题。如果Augeas依赖安装后问题依旧,可以尝试手动设置Augeas库路径。的 DNS 记录已经正确配置,并且指向你的服务器的 IP 地址。获取SSL证书后,您需要手动编辑Apache配置以使用这些证书。certbot将自动配置Apache以使用获取的SSL证书。这将模拟续订过程而不会实际更改证书,以确保一切正常工作。
linux使用certbot 自己生成证书apache
denglangli8323的博客
01-31 653
1.获取certbot-auto wget https://dl.eff.org/certbot-auto 2.添加执行权限 chmod a+x certbot-auto 3.自动下载和安装环境需要的组件 ./certbot-auto --apache certonly 4.生成域名所需要的证书(红色部分为网站访问的路径和需要生成证书的域名) ./certbot-auto...
Apache代理https服务 + certbot 获取letsencrypt的https证书
chuiwubi7749的博客
12-26 529
安装certbot sudo apt-get update sudo apt-get install software-properties-common sudo add-apt-repository universe # ppa ( Personal Package Archive...
透過CertbotApache網站更新憑證 - HTTP-01 考驗
keineahnung2345的博客
10-13 6503
之前寫過一篇透過CertbotApache網站申請憑證,本篇記錄更新憑證時所踩過的坑及解決方式。
linux apache certbot,Apache SSL:服务器证书不包含与服务器名称匹配的ID
weixin_42184237的博客
05-14 330
就我而言,我已经通过在每个相关域的apache ssl配置文件中替换了它来解决了这个问题:ServerName mydomain.comServerAlias www.mydomain.com创建人:ServerName www.mydomain.comServerAlias mydomain.com因为我的证书适用于“ www.mydomain.com”,而不适用于“ mydomain.com”...
certbot --apache报错: The requested apache plugin does not appear to be installed
干志雄的博客
05-13 1707
环境 CentOS 7.9.2009 Linux内核版本3.10.0 cerbot版本1.11.0 Apache 2.4.6 问题 根据我的服务器,我按照certbot官网的说明Apache on CentOS/RHEL 7 进行操作。 但是执行如下命令时,没有成功 $ sudo certbot --apache [sudo] password for admin: Saving debug log to /var/log/letsencrypt/letsencrypt.log
nginx 配置ssl配置文件内容
知识的灯塔,梦想的航船
11-19 3006
server { listen 443 ssl; server_name www.langmanezhuang.com; # 改为绑定证书的域名 # ssl 配置 #ssl on; ssl_certificate 1_langmanezhuang.com_bundle.crt; # 改为自己申请得到的 crt 文件...
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1544
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值