无80和443端口下申请域名SSL证书(适用于 acme.sh 和 certbot)

最新推荐文章于 2024-02-06 15:10:58 发布
最新推荐文章于 2024-02-06 15:10:58 发布
阅读量7.5k 收藏 8
点赞数 2
分类专栏: web 文章标签: ssl https nginx http 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linkyy5/article/details/125796057
版权

无80和443端口下申请域名SSL证书

文章目录

最近在捣鼓家用的小型服务器,搭好之后就发现许多服务如果只是 HTTP 来访问太不安全,因此琢磨来琢磨去还是选择搞一个 SSL 证书升级到 HTTPS 更安全。

但是问题来了:以前申请的时候,都是用 acme.sh 或者 certbot 通过 nginx 配置来申请 SSL 证书,但是家用宽带会屏蔽 80 和 443 端口的流量。

为了解决这个问题,我在谷歌搜了不少资料,终于找到了不通过这两个端口申请 SSL 证书的解决方案。

SSL 证书申请的方式

这一章主要简述一下 DV(Domain Validation) 的 SSL 证书的三种申请方式。以下文段取自维基百科的翻译:

域名验证证书(DV SSL)的唯一标准是证明对域名的whois记录、DNS记录文件、电子邮件或虚拟主机账户的控制。通常情况下,对域名的控制是通过以下方式之一来确定的。

  • 对发给域名whois详情中的电子邮件联系人的电子邮件的回应
  • 对发给域名中知名管理联系人的电子邮件的回应,例如(admin@,postmaster@,等等)。
  • 发布一个DNS TXT记录
  • 发布一个由自动证书颁发系统提供的非授权码

域验证(DV)的证书与扩展验证(EV)的证书不同,因为这是签发证书的唯一要求。特别是,域名验证的证书并不保证任何特定的法律实体与该证书有联系,即使域名可能意味着一个特定的法律实体控制着该域名。

通过 DNS 申请 SSL 证书

从上面可见,要想在端口受限的情况下完成 SSL 的申请,最简单的方法就是使用 DNS 方式。

获取个人域名

在申请 SSL 证书前,必须要先获得一个域名。这一步就八仙过海,各显神通,读者自行百度解决。

acme.sh 方式

参考自 acme.sh 说明

使用 acme.sh 的 DNS 认证方式的好处是,你不需要任何服务器,不需要任何公网 ip,只需要 dns 的解析记录即可完成验证。坏处是,如果不同时配置 Automatic DNS API,使用这种方式 acme.sh 将无法自动更新证书,每次都需要手动再次重新解析验证域名所有权。

假设 hello.mydomain.com 是待申请的域名。则发起 DNS 申请的命令为:

acme.sh  --issue  --dns -d hello.mydomain.com \
 --yes-I-know-dns-manual-mode-enough-go-ahead-please

然后, acme.sh 会生成相应的解析记录显示出来, 你只需要在你的域名 DNS 管理面板中添加这条 txt 记录即可。不会这一步的小伙伴可以多百度一下。

等待解析完成之后, 重新生成证书:

acme.sh  --renew -d hello.mydomain.com \
  --yes-I-know-dns-manual-mode-enough-go-ahead-please

此外,如果是常见的 DNS 服务商,例如 cloudflare、dnspod、cloudxns、godaddy 和阿里云之类的,可以通过 acme.sh 的 dnsapi 实现自动证书更新

certbot 方式

和 acme.sh 类似,certbot 也可以通过这种方式完成 DNS 的 SSL 证书申请。参考自 Using Certbot Manually for SSL certificates

安装 certbot 后,输入下面命令开始进行 DNS chanllenge:

certbot certonly –manual -d hello.mydomain.com

然后一路跟着 prompt 提示,最后也要到 DNS 服务商处增加 TXT 记录,即可获得证书。

certbot 的 DNS challenge 过程
但是不好运的是,certbot 不支持阿里云的自动更新,sad。

林地宁宁
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
80端口如何使用Let‘s Encrypt申请https证书
hakljz的博客
06-17 1793
昨天晚上在服务器上为 nginx 部署 https 服务器,和之前不同的是,这次使用的 http 端口是 8080,之前使用默认的 80,因此使用 Let's Encrypt 生成证书时并没有以前那么顺利,如果网站已经开启在了 http80 端口,Let's Encrypt 生成证书太简单了,简单到你不会去思考它的原理。 网上搜索“非80端口 certbot”,看完了换个词搜,回答看了个遍,大多只说操作步骤,不说为什么要这么做,按照这些操作步骤操作了很多次仍没有成功。此时已经是晚上11点了,想起吴军
威联通qnap使用acme自动更新证书 qnap-acme.sh
01-29
配合neilepang/acme.sh容器,QTS 5.x可用脚本
宝塔面板公网ip非80端口非443端口部署ssl
帆酱的博客
02-22 3391
3、申请ssl证书,由于ssl默认访问80端口,所以使用文件验证失败,只能使用DNS验证。使用Let's Encrypt申请证书,使用dns验证,勾选手动解析,点击申请。此时会弹出一个让你设置TXT解析记录的框,到域名服务商那里添加解析记录,回到宝塔面板,点击验证。如果验证成功,此时访问。2、再到域名运营商做A记录解析,此时可以通过http://test.xxx.cn:8085访问到网站。有不少人使用家用宽带,虽然申请下来了公网ip,但是运营商封了80443端口,但仍想使用ssl证书
使用 Cloudflare Proxy 非80 443 端口流量
最新发布
m0_66728699的博客
02-06 1047
国内服务器需要备案才能开放用域名访问80 443端口, 而使用Cloudflare似乎默认依赖于这两个端口(即使Cloudflare支持其它其它几个非标准的端口, 但受似乎不对国内流量生效)
不能开放80443端口,还能申请IP SSL证书吗?
SSL加密技术
05-20 2828
有些公司因为业务需要,不方便使用域名或者没有域名,但为了保护用户的信息安全,又必须要申请SSL证书,在这种情况下就要申请IP SSL证书申请IP SSL证书的好处 1,实现通信信息加密,防止数据泄露。 2,能够有效识别IP 身份辨识度,防止IP地址被假冒。 3,有利于搜索引擎优化。 4,有利于提升网站可信度。 不是所有IP地址都能申请SSL证书,要申请IP SSL证书,必须满足以下几个条件。 1,必须是公网IP,暂不支持内网IP申请可信的SSL证书。 2,申请者必须具有IP管理权限。
OpenWrt 在没有80\443端口、不能dns验证的情况下为自己的域名申请免费ssl证书
a553455的博客
01-11 2692
本方法适用于使用OpenWrt 在没有80\443端口、不能dns验证的情况下为自己的域名申请免费ssl证书。提示:1、如果你的网络80或者443端口是开放状态,可直接使用https://letsencrypt.org/进行ssl申请,使用acme.sh脚本可快速完成。2、如果你的网络ddns服务提供商服务到位,可以使用dns验证的方法,也更加方便。本流程适用于上述两种方法都失效的情况下,采用邮箱验证来完成域名所属验证。OpenWrt 分支: 22.03.3 内核: 5.10.161。
如何在非443端口开启SSL(重置版)
Smiling_fox666的博客
07-28 475
这里就是我们需要更改的地方,例如我想要在 666 端口上开启网站的 SSL,就只需要将这行的 “443” 改为 “666” 即可。这里宝塔面板会替我们自动部署证书并应用于 443 端口上,但是我们并不需要使用 443 端口而是需要改成我们想要的端口。如果还没有添加网站就点击上方的 “添加站点”,如果已经添加完成了站点就点击想要配置的站点,这里以我的博客为例。最后,我们在宝塔面板侧栏的 “安全 ” 里,放行我们刚刚更改的 666 端口即可。然后访问 https://你的网站:666/
使用Let‘s Encrypt、Certbot配置Centos下NginxHTTPs证书
visket2008的专栏
04-01 4039
期望通过每一次分享,让技术的门槛变低,落地更容易。 —— around 目录 1.环境介绍 2.acme方式生成证书 3.certbot方式生成证书 4.配置Nginx 正文 1.环境介绍 操作系统:Centos 7.9 Web服务:Nginx 1.20 域名:hzrcjob.com 第三方客户端:acme.sh v3.0.3 、 Certbot 2.acme方式生成证书 2.1 安装 切换到cd ~执行脚本下载 curl h.
自动化签发ssl证书记录
chun1235498的博客
04-04 358
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Kp0XjdYb-1680568461215)(null)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BM0HFePZ-1680568461189)(null)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-W1pNOLJo-1680568461152)(null)]**tips:注意xxxxx切换为你的project ID 然后点击启用按钮即可 ****
certbot 申请免费SSL证书、自动续期
wangjun5159的专栏
06-19 1291
是一个免费、开源的软件,是的客户端,Let’s Encrypt是证书颁发机构,它们之间使用通信,Certbot是Lets Encrypt众多客户端的其中之一,Let’s Encrypt,它能自动使用Let’s Encrypt颁发证书的工具,它能实现自动下载证书证书续期,让网站开启https功能,以往我们都从阿里云、腾讯云买证书,有了Let’s Encrypt就可以省下这部分钱了。是一个免费、自动化、开放的证书授权机构。(ISRG).
nginx同端口(非80,443)配置证书,http强转https,post变get
weixin_43872895的博客
04-20 851
nginx同端口(非80,443)配置证书,http强转https,post变get
ansible-acme-sh:使用acme.sh使用“让我们加密”安装并自动更新SSL证书
01-31
ansible-acme-sh:使用acme.sh使用“让我们加密”安装并自动更新SSL证书
acme.sh_api_ispconfig:停止acme.sh和API ispconfig中的“客户端ID不为数字”
04-17
ACME.SH,停止错误“客户端ID不是数字”! Description(法语)[英语较低] 该存储库仅专用于acme.sh及其DNS API“ dns_ispconfig.sh ”,旨在解决此重复的“客户端ID不是数字”错误。 似乎有些主机正在“与ISPCONFIG绑定”,因此仅使用数字ID。 在安全性上有点过时,但易于管理!.. 一些acme.sh用户认为可以通过将主机的代码复制/粘贴到acme.sh存储库中来进行改进。 真是个错误! 最糟糕的部分是,此代码似乎未得到验证,因为每次在提交中都发现它,然后进行更新... 解决方案很简单: 不再更新acme.sh 降级acme.sh或dns_ispconfig.sh API。 最简单的解决方案是修改dns_ispconfig.sh API,以使其停止使用数字客户端ID。 用 获取dns_ispconfig.sh API文件,然
qnap-acme.sh
09-18
威联通QNAP自动续签更新SSL证书脚本(配合acme.sh使用),支持Let's Encrypt免费证书,支持域名泛解析证书,如:*.xx.com。
get.acme.sh:get.acme.sh
05-24
get.acme.sh 1.从Web安装: : 安装 curl https://get.acme.sh | sh -s [email protected] 或者 wget -O - https://get.acme.sh | sh -s [email protected] 2.高级安装:
Linux上nginx配置SSL协议非80443端口自动跳往https端口
热门推荐
weixin_44316575的博客
12-28 1万+
在生产环境中往往碰到一个网站需要多个访问端口,而默认的http访问端口是80https访问的端口是443,然而这是不够在生产环境下使用的,这个时候就需要配置更多的端口来弥补这一缺点。 默认情况下用户输入URL时是约简单越好,比如http://baidu.com ,用户只需要输入baidu.com就可以访问。但是这样是通过http协议进行访问,而并非https进行访问。站在用户的角度来考虑问题他不...
HTTPS域名SSL证书常识及配置
qq_34583944的博客
08-22 3039
在握手过程中,网站会向浏览器发送SSL证书SSL证书和我们日常用的身份证类似,是一个支持HTTPS网站的身份证明,SSL证书里面包含了网站的域名证书有效期,证书的颁发机构以及用于加密传输密码的公钥等信息,由于公钥加密的密码只能被在申请证书时生成的私钥解密,因此浏览器在生成密码之前需要先核对当前访问的域名证书上绑定的域名是否一致,同时还要对证书的颁发机构进行验证,如果验证失败浏览器会给出证书错误的提示。根证书是最关键的一个证书,如果根证书不受信任,它下面颁发的所有证书都不受信任。
acme云服务器生成证书_Certbot-免费的HTTPS证书
weixin_35600369的博客
01-01 496
书接上文,会了Nginx,也配了网站了,但是总觉得少了点什么,今天来说说https证书配置关于什么是https,以及httphttps的区别,这些问题我就不跟你多bb了,自己百度搜去。。。https_百度百科​baike.baidu.com直接说正事,Certbot的免费证书配置。获取SSL证书 理论上,我们自己也可以手动制作一个 SSL 安全证书,但是我们自己签发的安全证书浏览器信任,所以我...
nginx配置ssl证书
05-25
要在 Nginx 上配置 SSL 证书,需要进行以下步骤: 1. 获取 SSL 证书和私钥文件,可通过购买或免费证书颁发机构申请。 2. 将 SSL 证书和私钥文件放在服务器上,通常放在 /etc/nginx/certs/ 目录下。 3. 编辑 Nginx 配置文件,添加 SSL 配置。例如: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /etc/nginx/certs/example.com.crt; ssl_certificate_key /etc/nginx/certs/example.com.key; } ``` 其中,listen 指定监听的端口为 443,ssl 表示启用 SSL,server_name 指定该配置适用域名ssl_certificate 和 ssl_certificate_key 分别指定 SSL 证书和私钥文件的路径。 4. 重新加载 Nginx 配置文件:`sudo service nginx reload` 完成以上步骤后,就可以通过 HTTPS 访问该网站了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

林地宁宁

谢谢你给宁宁打米哦!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值