自定义https

最新推荐文章于 2022-06-27 18:00:47 发布
最新推荐文章于 2022-06-27 18:00:47 发布
阅读量608 收藏
点赞数
分类专栏: https 文章标签: https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyn0503/article/details/103005636
版权

需要说明的是,我们这HTTPS签名的是Let's Encrypt,它是一家免费、自动化、开放的证书颁发机构(CA)。

基本步骤如下:

1、首先,克隆项目

sudo git clone https://github.com/diafygi/acme-tiny.git
cd acme-tiny

2、创建私钥

openssl genrsa 4096 > account.key
# 创建域名私钥
openssl genrsa 4096 > domain.key

3、创建请求证书

若是单个域名,则使用下面命令:

#单个域名
openssl req -new -sha256 -key domain.key -subj "/CN=yoursite.com" > domain.csr

若是多个域名,则先创建一个配置文件,例如test.conf,配置内容示例如下:

[ req ]
distinguished_name  = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
commonName_default = xx(常用名称)
commonName_max        = 64
organizationName_default = 公司名字
organizationalUnitName_default  = xxx
localityName_default  = Beijing
stateOrProvinceName_default = Beijing
countryName_default   = CN

[ req_ext ]
subjectAltName          = @alt_names

[alt_names]
DNS.1   = admin.liuchungui.com
DNS.2   = test.liuchungui.com

上面有很多字段没有填写,可以自行补齐。运行下面命令生成请求证书:

openssl req -new -sha512 -nodes -key domain.key -out domain.csr -config test.conf -batch -subj "/"

需要说明的是,多域名使用批量生成请求证书,请求证书签名验证的时候,会一个一个域名进行验证。

4、创建网站服务器challenge,用来进行验证

这里,和免费 HTTPS 证书 Let's Encrypt 初体验的内容一样。

Let’s Encrypt 要求你必须证明签名的域名是属于你的,所以需要在服务器上验证一些文件。脚本会帮你生成这些文件到你指定的文件夹中,我们要做的就是确保 .well-known/acme-challenge/(验证的时候会访问 yourdomian.com/.well-known/acme-challenge/) url 对应的是这个文件夹。提示:默认是发送 http 请求到 80 端口,所以最好是用 HTTP 服务(重定向到 HTTPS 也是可以的)。

首先,创建challenge目录

mkdir -p /var/www/challenges/

然后,配置nginx

#example for nginx
server {
    listen 80;
    server_name a.yoursite.com b.yoursite.com;

    location /.well-known/acme-challenge/ {
        alias /var/www/challenges/;
        try_files $uri =404;
    }
}

最后,进行验证

echo 123123 > /var/www/challenges/test.txt && curl http://yourdomian.com/.well-known/acme-challenge/test.txt

5、签名验证

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt

6、安装证书

安装证书前,需要将Let's Encrypt 中间证书加到证书中

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem

7、验证证书一致性

root@iZ238n5r3z9Z:~/acme-tiny# openssl x509 -noout -modulus -in chained.pem | openssl md5
(stdin)= 92be1484c4605ffc1c8965afe50c4650
root@iZ238n5r3z9Z:~/acme-tiny# openssl rsa -noout -modulus  -in domain.key | openssl md5
(stdin)= 92be1484c4605ffc1c8965afe50c4650

上面输出的md5一样,则说明证书一致了。

8、ngnix配置

server {
        listen       443;
        server_name  a.yourdomian.com;
        #charset koi8-r;#access_log  logs/host.access.log  main;ssl                  on;

        ssl_certificate      /root/acme-tiny/chained.pem;
        ssl_certificate_key  /root/acme-tiny/domain.key;

        ssl_session_timeout  5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
            ssl_session_cache shared:SSL:50m;
            ssl_prefer_server_ciphers on;
        #other config
}

遇到问题

1、生成请求证书的时候,碰到了140220875978400:error:04075070:rsa routines:RSA_sign:digest too big for rsa key问题。

后来在我的mac电脑上试了下,发现没有问题。看了下服务器的openssl版本,是1.0.1f,而我本地mac电脑的openssl版本是1.0.2l,于是,将服务器的openssl升级到1.0.2l就可以了。

升级openssl 1.0.2l步骤如下:

wget http://www.openssl.org/source/openssl-1.0.2l.tar.gz  
tar zxvf openssl-1.0.2l.tar.gz  
cd openssl-1.0.2l
./config --prefix=/usr/local/openssl  
make && make install  
mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl  
ln -s /usr/local/openssl/include/openssl /usr/include/openssl  
echo "/usr/local/openssl/lib">>/etc/ld.so.conf  
ldconfig -v  
openssl version -a

2、签名时报错,遇到下面错误:

Traceback (most recent call last):
  File "acme_tiny.py", line 198, in <module>
    main(sys.argv[1:])
  File "acme_tiny.py", line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
  File "acme_tiny.py", line 92, in get_crt
    raise ValueError("Error registering: {0} {1}".format(code, result))
ValueError: Error registering: 400 {
  "type": "urn:acme:error:malformed",
  "detail": "Provided agreement URL [https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf] does not match current agreement URL [https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf]",
  "status": 400
}

解决方法:更新acme-tiny.git仓库代码就行了。

git pull origin master



作者:liuchungui
链接:https://www.jianshu.com/p/ecc11c7aaa99
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

夏未央 ~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot使用自定义https
weixin_49390750的博客
12-22 349
SpringBoot使用自定义https
如何写一个https接口?
Enzyme_Dinosaur的博客
07-18 1161
https接口
七牛云创建存储空间并绑定自定义域名-https协议(申请ssl证书)
伟庭的博客
06-17 4576
七牛云创建存储空间并绑定自定义域名-https协议(申请ssl证书)
自建HTTPS证书
阿祥_CSDN
07-13 5734
在做 Web 相关开发的时候,有可能需要在本地搭建 https 的环境,而在 https 环境的过程中,需要私钥和证书文件,本文提供自建证书的方案供读者参考。
harbor的https访问方式及自定义证书
haha_yyds的博客
06-27 2161
k8s拉取镜像需要https访问harbor,需要自定义证书
在.NET 6.0上使用Kestrel配置和自定义HTTPS.doc
07-11
在.NET 6.0上使用Kestrel配置和自定义HTTPS .NET 6.0 中的 Kestrel 配置和自定义 HTTPS 是一种重要的技术配置,以下是相关知识点的详细解释: 一、Kestrel 简介 Kestrel 是一个新实现的 HTTP 服务器,它是 ASP...
node-https-loader:自定义HTTPS Loader for Node.js
05-08
适用于Node.js的HTTPS自定义加载程序 实验性 该软件包是实验性的(Node.js中的加载程序也是如此),并且随时可能进行更改。 如何开始 您需要指定--experimental-modules标志 您需要指定加载程序,以便能够通过https ...
image loader 支持https自定义证书
01-29
基于 1.9.5 编译的,支持https自定义证书,去掉https 认证,当初遇到这样的需求是用的一个低版本的别人修改的,现在已经熟读源码就自己改个来玩,希望能帮助到有需要的朋友。
自定义TrackBar
03-30
[WTL/ATL]_[中级]_[自定义TrackBar] 的项目。 https://blog.csdn.net/infoworld/article/details/123850968 使用VS2010以上编译运行Debug模式.
tomcat自定义证书
07-31
https://blog.csdn.net/q975583865/article/details/80249375
服务器调用https缺少证书,Https自定义证书引入问题(2)
weixin_29454359的博客
07-31 1655
上一篇介绍接口使用https并且证书是自签的情况下,如何在客户端信任服务器证书,没有看过的请移步1.Webview加载https问题1.1 最简单的方式,助各位大佬一秒脱坑自定义证书的https地址在加载时会进入onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) 方法,前提是自定义webviewClie...
MQTT协议TLS SSL部分测试双向验证出现的问题
weixin_34062469的博客
12-13 1678
Mosquitto官方提供了一个测试地址供我们使用。其中8883和8884端口是支持TLS/SSL的。区别在于端口8883只需要客户端验证服务端的链接即可,端口8884需要双向验证客户端也需要向服务器上传证书。 两个端口的测试代码我在之前的文章iOS开发中MQTTKit的TLS/SSL支持方案已经提供。关于客户端证书,我们需要向Generate a TLS client certificate f...
[问题记录] openssl error:0906D064:PEM routines:PEM_read_bio:bad base64 decode
热门推荐
delphiwcdj的专栏
01-25 2万+
[问题记录] openssl error:0906D064:PEM routines:PEM_read_bio:bad base64 decode问题描述之前使用C写了一个计算rsa签名的函数,最近在根据私钥计算签名的时候突然遇到如下错误:PEM_read_bio_PrivateKey err[error:0906D064:lib(9):func(109):reason(100)],虽然代码里是用o
iOS 报 Openssl internal error 错误
wa172126691的博客
03-04 1273
解决办法: 将Other Linker Flags中的其他的删除掉只保留 -ObjC
数据加密在Android 中的使用实例 ---- 总篇
私房菜
11-21 794
算法可以看下博文:数据加密 ---- 总篇   应用实例: Android 中数据加密 ---- RSA加密 Android 中数据加密 ---- SHA加密 Android 中数据加密 ---- MD5加密 Android 中数据加密 ---- 3DES加密 Android 中数据加密 ---- DES加密 Android 中数据加密 ---- DES加密 Android 中数...
RSA算法(一)
Yore_的博客
10-03 1441
RSA非对称加密算法:          最近自己接触到的两种密钥体制:对称密钥体制和非对称密钥体制。对称密钥体制就是加密和解密用同一个密钥。非对称密钥体制就是加密和解密不是同一个密钥。也就是说一个密钥所加密的数据要用另一个密钥解密。          RSA通过算法生成一对密钥:公钥和私钥。要加密和解密数据,两个密钥都需要使用,所以其中一个可以公开而不会危害安全性。这个密钥就是公钥。另一个
RSA - 基于内存代码实现
天涯海角的专栏
07-26 551
基于:openssl-1.0.1g #define OPENSSL_AES_BITS_128 (128) #define OPENSSL_AES_BITS_256 (256) #define OPENSSL_AES_LEN_16 (16) // 16 = 128 / 8 #define OPENSSL_AES_LEN_32 (32) // 32 = 256 / 8
https 自定义证书pem
最新发布
12-01
为了在本地搭建 https 环境,我们可以使用自定义证书 pem 文件。以下是生成自定义证书 pem 文件的步骤: 1. 生成私钥 key.pem 文件: ```shell openssl genrsa -out key.pem 2048 ``` 2. 生成证书签名请求文件 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值