Letsencrypt 创建免费HTTPS证书

最新推荐文章于 2021-10-28 15:50:10 发布
最新推荐文章于 2021-10-28 15:50:10 发布
阅读量433 收藏
点赞数
分类专栏: 运维 文章标签: letsencrypt https certbot

操作系统:Ubuntu 18.04
代理服务器:nginx

Let’s Encrypt 简介

如果要启用HTTPS,我们就需要从证书授权机构(以下简称CA) 处获取一个证书,Let’s Encrypt 就是一个 CA。我们可以从 Let’s Encrypt 获得网站域名的免费的证书。这篇文章也主要讲的是通过 Let’s Encrypt + Nginx 来让网站升级到HTTPS。

#Certbot 简介
Certbot 是Let’s Encrypt官方推荐的获取证书的客户端,可以帮我们获取免费的Let’s Encrypt 证书。Certbot 是支持所有 Unix 内核的操作系统的。

安装证书

1.安装Certbot客户端

sudo apt-get update
sudo apt-get install certbot

##2.获取证书

certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com

这个命令会为 example.comwww.example.com 这两个域名生成一个证书,使用 --webroot 模式会在 /var/www/example 中创建 .well-known 文件夹,这个文件夹里面包含了一些验证文件,certbot 会通过访问 example.com/.well-known/acme-challenge 来验证你的域名是否绑定的这个服务器。这个命令在大多数情况下都可以满足需求,

但是有些时候我们的一些服务并没有根目录,例如一些微服务,这时候使用 --webroot 就走不通了。certbot 还有另外一种模式 --standalone , 这种模式不需要指定网站根目录,他会自动启用服务器的443端口,来验证域名的归属。我们有其他服务(例如nginx)占用了443端口,就必须先停止这些服务,在证书生成完毕后,再启用。

certbot certonly --standalone -d example.com -d www.example.com

证书生成完毕后,我们可以在 /etc/letsencrypt/live/ 目录下看到对应域名的文件夹,里面存放了指向证书的一些快捷方式。
这时候我们的第一生成证书已经完成了,接下来就是配置我们的web服务器,启用HTTPS。

#3.Nginx 配置启用 HTTPS
这里贴一下我的Nginx配置

server{
    listen 80;
    server_name test.api.zhengdaoyixing.com;
    rewrite ^/(.*) https://test.api.zhengdaoyixing.com/$1 permanent;
}
server {
        server_name test.api.zhengdaoyixing.com;
        listen 443;
        ssl on;
        underscores_in_headers on;
        ssl_certificate /etc/letsencrypt/live/test.api.zhengdaoyixing.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/test.api.zhengdaoyixing.com/privkey.pem;
        location / {
           proxy_pass http://127.0.0.1:9001;
           proxy_http_version 1.1;
           proxy_set_header X_FORWARDED_PROTO https;
           proxy_set_header X-Real-IP $remote_addr;
           proxy_set_header X-Forwarded-For $remote_addr;
           proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           proxy_set_header Host $host;
        }

主要是监听 443 端口,80端口自动转发443端口,启用 SSL,并配置 SSL 的证书路径(公钥,私钥的路径)。

#4.自动更新 SSL 证书

配置完这些过后,我们的工作还没有完成。 Let’s Encrypt 提供的证书只有90天的有效期,我们必须在证书到期之前,重新获取这些证书,certbot 给我们提供了一个很方便的命令,那就是 certbot renew。
通过这个命令,他会自动检查系统内的证书,并且自动更新这些证书。
我们可以运行这个命令测试一下

certbot renew --dry-run

运行的时候可能出现出现了错误,生成证书的时候如果使用 --standalone 模式,验证域名的时候,需要启用443端口,这个错误的意思就是要启用的端口已经被占用了。 这时候必须把nginx先关掉,才可以成功。
证书是90天才过期,我们只需要在过期之前执行更新操作就可以了。 这件事情就可以直接交给定时任务来完成,执行 corntab -e ,输入如下命令每个月四点半执行更新证书操作

30 4 * */2 * certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start"
  • –pre-hook 这个参数表示执行更新操作之前要做的事情,因为使用 –standalone 模式的证书,所以需要 停止 nginx 服务,解除端口占用。
  • –post-hook 这个参数表示执行更新操作完成后要做的事情,这里就恢复 nginx 服务的启用

至此,整个网站升级到HTTPS就完成了。 总结一下我们需要做什么:

  • 1.获取Let’s Encrypt 免费证书
  • 2.配置Nginx开启HTTPS
  • 3.定时刷新证书

#5.letsencrypt 常见问题

1.certbot自动更新时间期限

当certbot执行自动更新证书操作时,会自动监测**/etc/letsencrypt/renewal**目录下面的所有配置文件(.conf结尾的文件),文件内容如下所示:

# renew_before_expiry = 30 days
version = 0.26.1
archive_dir = /etc/letsencrypt/archive/test.api.zhengdaoyixing.com
cert = /etc/letsencrypt/live/test.api.zhengdaoyixing.com/cert.pem
privkey = /etc/letsencrypt/live/test.api.zhengdaoyixing.com/privkey.pem
chain = /etc/letsencrypt/live/test.api.zhengdaoyixing.com/chain.pem
fullchain = /etc/letsencrypt/live/test.api.zhengdaoyixing.com/fullchain.pem

# Options used in the renewal process
[renewalparams]
account = 0c8449779d2546c6fa2f19383d2947de
server = https://acme-v02.api.letsencrypt.org/directory
authenticator = standalone
post_hook = service nginx start
pre_hook = service nginx stop

如果想自定义在证书过期前多久certbot进行更新操作,可以去掉renew_before_expiry注释并自定义时间.

#6.参考
Let’s Encrypt 使用教程
Certbot centosrhel7-nginx
Let’s Encrypt getting-startd
Archlinux cron
Nginx configuring-https-servers

liulinhui1994
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
配置Let's Encrypt的https证书
blog_zxb的博客
12-27 291
配置Let's Encrypt的https证书 1、下载解压 $ cd /root $ wget https://github.com/certbot/certbot/archive/master.zip $ unzip master.zip $ cd certbot-master/ ​ # 查看帮助 $ ./certbot-auto --help 2、生成证书, 证书有效期90天 ...
letsencrypt搭建免费https网站--nginx篇
aa011231的博客
07-31 307
环境:阿里云服务器centos7.3,nignx,letsencrypt免费https证书 Let’s Encrypt官网:https://letsencrypt.org/ 1、服务器开放端口:443,80(服务器防火墙和阿里云控制台都要开放这两个端口,如果没有开放后面设置域名时,会报错连接域名超时的)  2、安装一个nginx,并且测试下可以访问吗,访问个主页试试 3、准备...
Let's Encrypt SSL 证书发布了简体中文版
关尓佟博客
08-17 166
免费提供网站HTTPS加密的Let's Encrypt SSL 证书发布了简体中文版,支持包括中文在内的七种语言。 从事网站运营的站长们都知道,HTTPS加密SSL证书,主要是用于网络浏览器和网络服务器之间的数据加密,传输网站数据比较安全,因此也得到了几乎,谷歌,百度,等各大主流搜索引擎的认可,并且现在算是要求每个站都尽量安装SSL 证书。 而 Let's Encrypt 推出的SSL 证...
Letsencrypt更新证书renew时出现错误produced an unexpected error: Missing command line flag or config entry
蜗牛的专栏
05-22 2942
一直使用的LetsencryptHTTPS证书,之前都正常自动更新,今天突然收到邮件提示域名证书快过期了,于是手动执行renew结果失败,出现一堆错误信息: Attempting to renew cert (xxx.me) from /etc/letsencrypt/renewal/xxx.me.conf produced an unexpected error: Missing comman...
免费申请Let's Encrypt HTTPS 证书(登陆网站和脚本两种方法)
IChen.的博客
11-05 3536
方法一(要交互,成功率高) 申请过程 1.首先打开SSL For Free (https://www.sslforfree.com/)。 3.此时需要选择验证方式,分别为“自动FTP验证”(会要求输入FTP信息,担心安全的还是不要选择这一项)、“手动验证”(传文件到FTP指定位置,这里我们选择这一项)以及用DNS解析验证。 选择第二项“Manual Verification”。 4.点击新出...
ns-letsencrypt:让我们加密和自动更新Netscaler的证书
05-19
与过程一起使用。 请查看博客以了解操作方法。 用于以创建和续订证书。 然后使用REST API的Python脚本更新Netscaler。
zimbra-letsencrypt:为Zimbra域创建,准备和部署新的Letsencrypt证书
02-12
zimbra-letencrypt 为Zimbra域Cf创建,准备和部署新的Letsencrypt证书。 如何(一次操作)使用certbot创建zimbra的证书(需要打开80端口,停止zimbra) certbot certonly --standalone --preferred-challenges ...
docker-letsencrypt-cron:使用Letsencrypt免费证书颁发机构创建和续订网站证书
05-06
docker-letsencrypt-cron 使用letencrypt free证书颁发机构及其客户端certbot创建并自动续订网站SSL证书。 此图像将每2个月更新一次证书,并将最新的证书放入容器的/ certs文件夹中以及主机的./certs文件夹中。用法...
webserver-letsencrypt:带有letencrypt证书的Apache Web Server
03-28
使用Letsencrypt的带有SSL证书的Apache Web服务器 该解决方案已经在Ubuntu中进行了测试,并且可以在所有Debian系统中使用 解决方案详细信息 我的网站: : Web服务器:Apache DNS:Duck DNS( ) 操作系统:Ubuntu ...
letsencrypt-docker:在启动时及其后每天自动创建或续订证书
05-17
概述interaction/letsencrypt映像将: 在启动时及其后每天自动创建或续订证书。 (可选)结合私钥及其完整的HAproxy证书链,然后重新启动。用法在letsencrypt服务中: 定义一个DOMAINS环境变量。 证书用换行符或分号...
login.jsp用户登录界面
04-19
login.jsp用户登录界面login.jsp用户登录界面login.jsp用户登录界面login.jsp用户登录界面
login HTML
09-29
登录页HTML5、CSS、JQuery,在登录页可以轮询换图片。
申请免费通配符证书(Let's Encrypt)并绑定IIS
Giant的工作回忆录
05-29 4192
什么是 Let’s Encrypt?部署 HTTPS 网站的时候需要证书证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 HTTPS 协议的使用。Let’s Encrypt 也是一个 CA 机构,但这个 CA 机构是免费的!!!也就是说签发证书不需要任何费用。什么是通配符证书在没有出现通配符证书之前,Let’s Encrypt 支持两种证书。1)单域名证书证书仅...
请求“Let‘s Encrypt”颁发的证书https 网站,出现“server certificate verification failed、certificate has expire”问题
小白成神路
10-28 1123
前言 今天无缘无故的一个"老"服务,突然有了异常,查看日志是guzzle包请求https链接时报证书已过期。 SSL certificate problem: certificate has expired 通过浏览器查看域名证书在有效期内,没有任何问题。 问题确认 可以通过下面的指令,看一下请求是否正常。 curl https://www.google.com #正常(不能访问谷歌就用百度试试) curl https://letsencrypt.org #不正常 https://www.google.
全民https时代,Let's Encrypt免费SSL证书的申请及使用(Tomcat版)
热门推荐
柳峰的专栏
01-10 2万+
近几年,在浏览器厂商的强力推动下,HTTPS的使用率大增。据统计,Firefox加载的网页中启用HTTPS的占比为67%,谷歌搜索结果中HTTPS站点占比已达50%,HTTPS网站已获得浏览器和搜索引擎的共同青睐。据悉,浏览器开发商Mozilla,Google准备采取下一步措施:将所有的HTTP网站标记为不安全。 近两年,微信小程序也异常火爆,小程序相关话题频频在朋友圈刷屏。如果你想开发
https 证书工具 Letsencrypt 简单教程
Dancen的专栏
07-31 2万+
https取代http是大势所趋,https的好处本文不在赘述,很多公司和机构都在推进这一进程,Apple公司甚至规定,iOS上的App应用必须使用https。因此,正是受到Apple的限制,我们的站点,几乎是所有的站点,接近上百个,都支持了https。   如何获取SSL证书? 自签名证书 我们可以自己为自己颁发SSL证书,这样的证书满足为http加密的要求,但这样的证书缺少权威性,不会被浏...
【笔记】LetsEncrypt免费证书配置HTTPS
YotWei
09-11 1214
我用到的证书Let's Encrypt,这是一个免费、开放,自动化的证书颁发机构,由 ISRG(Internet Security Research Group)运作。ISRG 是一个关注网络安全的公益组织,详情参见官网 https://letsencrypt.org/ 环境 我用的环境如下 Ubuntu 16.04.1 Nginx Tomcat 7.0 证书主是通过Nginx配置的,...
IIS 站点添加 Let's Encrypt 证书错误问题
xyeoi的博客
07-04 830
在配置站点 ssl 证书的时候出现 xxx is both publicly accessible and can serve extensionless files 之类的错误,网上一查原来是 web.config 里有冲突,更改 <section name="handlers" overrideModeDefault="Deny" /> 为 <section name="ha...
Let’s Encrypt泛域名 转换为IIS用的pfx格式解决方案
无限星辰的博客
05-27 1465
Let’s Encrypt 其实本身有自动申请工具,可以一键安装,本教程适合有闲情逸致喜欢折腾的~技术人 环境 :win7 1.需要一个Openssl 百度下载哦 推荐 x64版本 不用安装 解压到一个非中文目录就可以了 2.申请Let’s Encrypt 泛域名证书,申请地址https://www.sslforfree.com/ 申请泛域名 记得填入 admin.com www.admin.co...
如何自动为harbor申请ssl证书
最新发布
05-30
server: https://acme-v02.api.letsencrypt.org/directory privateKeySecretRef: name: letsencrypt solvers: - http01: ingress: class: nginx ``` 在此 YAML 文件中,您需要将 `your-email@example.com` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值