域名的https证书申请并自动续期

最新推荐文章于 2025-02-24 16:42:41 发布
最新推荐文章于 2025-02-24 16:42:41 发布
阅读量2.4k 收藏
点赞数
文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mkii_hong/article/details/115357390
版权

使用Acme做https证书申请

Github:https://github.com/acmesh-official/acme.sh

1. 安装acme.sh

# 安装
curl  https://get.acme.sh | sh

# 给脚本起别名
alias acme.sh=~/.acme.sh/acme.sh

# 验证是否安装成功,出现版本号表示安装成功
acme.sh -v

2. 生成证书

2.1 原理机制

运行生成证书的命令之前需要先了解他的原理机制:

  • 先在 webroot 下创建目录:.well-known/acme-challenge 并在此目录生成一个校验文件(例如:agww2B-ty--atKNEn_2tfTB32US0mNfoeahd3DpA8F4

  • 再通过访问 url 来校验“这台服务器是不是你的?”。

    例如访问 http://mkii.com/.well-known/acme-challenge/agww2B-ty–atKNEn_2tfTB32US0mNfoeahd3DpA8F4 能得到上一步生成的文件

  • 校验通过才会生成证书

2.2 Nginx 配置修改(可选)

做这一步的目的是:我不想把验证文件放在我的网站的目录里边,我使用 Nginx 切换验证文件的位置。所以我指定域名生成的校验文件统一存储在 /opt/ssl-auth 目录,这样我需要在 Nginx 的配置中指定获取校验文件需要到 /opt/ssl-auth 来获取。

Nginx 配置:

匹配以 /.well-known/acme-challenge/ 开头的请求,也就是说:

访问 http://mkii.com/.well-known/acme-challenge/agww2B-ty–atKNEn_2tfTB32US0mNfoeahd3DpA8F4,会去到 /opt/ssl-auth.well-known/acme-challenge/agww2B-ty--atKNEn_2tfTB32US0mNfoeahd3DpA8F4

location ^~ /.well-known/acme-challenge/ { 
    root /opt/ssl-auth/; 
}

2.3 运行生成证书命令

acme.sh --issue -d mkii.com -webroot /opt/ssl-auth/

运行命令,校验成功之后会在/root/.acme.sh/mkii.com/目录生成一些证书文件。注意这里的证书文件不能直接使用,影响在下一步使用

申请成功会打印类似以下的日志

[Wed Mar 10 09:23:51 UTC 2021] Your cert is in  /root/.acme.sh/mkii.com/mkii.com.cer 
[Wed Mar 10 09:23:51 UTC 2021] Your cert key is in  /root/.acme.sh/mkii.com/mkii.com.key 
[Wed Mar 10 09:23:51 UTC 2021] The intermediate CA cert is in  /root/.acme.sh/mkii.com/ca.cer 
[Wed Mar 10 09:23:51 UTC 2021] And the full chain certs is there:  /root/.acme.sh/mkii.com/fullchain.cer

3. 安装证书

基于上一步生成的内部证书文件,生成正式的证书文件,并拷贝到 --key-file--fullchain-file 配置的路径。最后运行强制 reload Nginx,目的是 load 到证书文件。

acme.sh --install-cert -d mkii.com \ 
--key-file /etc/nginx/ssl/mkii.com.key.pem \
--fullchain-file /etc/nginx/ssl/mkii.com.cert.pem \
--reloadcmd "service nginx force-reload"

4. 更新证书

目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.(未测试)

一次跨域问题的记录
死磕音视频
07-26 1158
最近一个项目,因为某些原因,需要从https访问改为http访问,在改造中出现了跨域的问题,在这里记录下。项目使用nginx做反向代理。
/.well-known/ 漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-18 1792
/.well-known/openid-configuration 这些通常会返回一个 JSON 配置文件,其中包含关键信息。站点中隐藏的/.well-known/目录是IETF定义的知名站点的URI前缀,常被用来证明域名的所有权。使用ACME来管理SSL证书HTTPS站点的管理员会将唯一的token。 本文中主要介绍上个月上百个被黑的CMS站点中发现的Shade/Troldesh勒索软件和钓鱼页面。研究人员分析发现被黑的WordPress站点都使用v 4.8.9到5.1.1版本,且都使用Auto
nginx申请 Let‘s Encrypt 证书时出现的错误/.well-known/acme-challenge/EycPOUu_ZbFTfRFEnI1q6HO 以及证书自动续期
qq_27346503的博客
04-19 1万+
出现的错误: Domain: didiok.com Type: unauthorized Detail: Invalid response from http://ok.com/.well-known/acme-challenge/NHz9-CH4W0RkSC2rH1BORGtdEdk9-43JM3dXiWd_U_o [112.124.6.63]: "<html>\r\n<head><title>404 Not Found</ti...
linux添加域名证书,在Linux服务器上手动安装免费的Let's Encrypt域名证书 - 乐道主机...
weixin_39719042的博客
05-11 250
准备工作mkdir / root / letsencrypt / var / www / letsencryptcd / root / letsencrypt我们将使用acme_tiny库。您可以使用任何其他库wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py我们生成一个标识符密钥openssl ...
证书过期怎么办?又一款免费SSL证书自动续期---httpsok
liaozan8888的博客
02-24 594
ssl证书过期 证书续期 自动续期
acme证书相关错误
weixin_43154931的博客
04-16 1481
因为我的dns解析是在aliyun做的,通过设置dns服务器来结局?通过 指定 --dns dns_ali。
来此加密证书申请,验证,自动部署
brazor的博客
08-18 4198
来此加密https证书申请,验证,自动部署
【手把手教你】如何申请免费的域名证书以及自动续期
EricLing的博客
07-27 1813
手把手教你学会申请免费的域名证书以及自动续期
certd:免费泛域名通配符域名SSL证书自动申请续期、部署,Automatically apply, renew and deploy free Generic domain SSL Certificates
05-05
本项目不仅支持证书申请过程自动化,还可以自动化部署证书,让你的证书永不过期。 全自动申请证书自动部署证书(目前支持服务器上传部署、阿里云、腾讯云等) 可与CI/DI工具结合使用 免费证书申请说明 本项目ssl...
SSL证书管理系统工具网站源码、自动申请、部署SSL证书证书即将过期时自动续期.zip
12-04
SSL证书管理工具网站源码,自动申请、部署SSL证书证书即将过期时自动续期 程序的工作流程如下: 1、用户通过 Certimate 管理页面填写申请证书的信息,包括域名、DNS 服务商的授权信息、以及要部署到的服务商...
使用certbot实现免费ssl证书申请自动续期工具安装和配置
u011585609的专栏
09-03 845
申请SSL证书,第一种全自动,通过certbot nginx插件读取nginx配置,管理nginx实现ssl证书申请、部署和续期;第二种通过手动申请证书,手动管理nginx ssl证书,通过crontab定时任务实现证书自动续期申请成功后,会在/etc/letsencrypt/live/{域名}/下生成证书一些文件。安装 certbot 以及 certbot nginx 插件。执行配置自动申请证书配置,中途会询问你的邮箱,如实填写即可。打开nginx配置文件添加ssl证书地址。
SSL证书管理系统工具网站源码,自动申请、部署SSL证书证书即将过期时自动续期
12-04
SSL证书管理工具网站源码,自动申请、部署SSL证书证书即将过期时自动续期 程序的工作流程如下: 1、用户通过 Certimate 管理页面填写申请证书的信息,包括域名、DNS 服务商的授权信息、以及要部署到的服务商...
Coding Pages 申请 SSL 证书错误:urn:acme:error:unauthorized: Invalid response from http://xxxxx/
热门推荐
BOB'S BLOG
09-16 1万+
Coding Pages 申请 SSL/TLS 安全证书出现以下错误: urn:acme:error:unauthorized: Invalid response from http://www.xxxx.cn/.well-known/acme-challenge/ysOz9wW3U_GFPP8kRP4w8uknBZ9UfiUT7t2xpu9pDCw [185.199.111.153]: "\...
Nginx 域名SSL证书配置(网站 http 升级为 https) acme.sh 申请免费SSL永久证书自动续期
Japhet_jiu的博客
05-06 3784
ssl证书,看这一篇,就够了
docker certbot颁发letsencrypt证书
zoeou的博客
06-15 2124
webroot方式配置https证书,定时执行续期 执行certbot certonly webroot方式 nginx被访问 查询结果 查询帮助信息 执行续期证书命令 定时任务自动续期 手动更新证书-日志 问题: 报了以下错误: 解决: 需要把.well-known配置加以443端口里
HTTPS之acme.sh申请证书
w36680130的博客
12-25 3385
本文转载自:https://www.cnblogs.com/clsn/p/10040334.html 作者:clsn 转载请注明该声明。1.关于let's encrypt和acme.sh的简介 1.1 let's encrypt Let's Encrypt是一个于2015年三季度推出的数字HTTPS之acme+sh申请证书.html' target='_self'>证书认证机构,旨...
免费Https证书(申请与配置-Let's Encrypt)
大唐锦绣的博客
05-22 2389
之前要申请免费的 https 证书操作步骤相当麻烦,今天看到有人在讨论,就搜索了一下。发现现在申请步骤简单多了 1. 下载 certbot git clone https://github.com/certbot/certbot cd certbot ./certbot-auto --help 解压打开执行就会有相关提示。 2. 生成免费证书 ./certbot-aut...
如何为网站启用HTTPS加密传输协议
程序员高级码农的博客
12-23 1769
当今时代对上网的安全性要求比以前更高,chrome和firefox也都大力支持网站使用HTTPS,苹果也从2017年开始在iOS 10系统中强制app使用HTTPS来传输数据,微信小程序也是要求必须使用HTTPS请求,由此可见HTTPS势在必行。本文主要介绍一下什么是HTTPS,以及如何使用Let’s Encrypt免费证书为网站启用HTTPS加密传输协议。HTTP协议被用于在Web浏览器和网站服务器之间传递信息。
阿里云ssl证书自动续期
最新发布
03-08
### 实现阿里云SSL证书自动续期配置 #### 使用 Certbot 和 Aliyun CLI 进行 SSL 证书自动续期 为了实现阿里云 SSL 证书自动续期,可以采用 `Certbot` 结合 `Aliyun DNS API` 的方式来完成这一过程。具体来说: 安装必要的工具包是第一步,在此过程中需要先部署 `aliyun cli` 工具以及 `certbot-dns-aliyun` 插件[^1]。 ```bash pip install --upgrade pip pip install certbot-dns-aliyun ``` 接着设置环境变量以便于后续操作中调用阿里云API接口所需的身份验证信息。 ```bash export ALIBABA_CLOUD_ACCESS_KEY="your-access-key" export ALIBABA_CLOUD_SECRET_KEY="your-secret-key" ``` 申请新的 SSL 证书可以通过执行如下命令来进行,这里指定了域名解析服务商为阿里云DNS,设置了相应的参数用于指定要保护的具体域名单元。 ```bash certbot certonly \ --dns-aliyun \ --dns-aliyun-propagation-seconds 60 \ -d example.com -d www.example.com ``` 对于已经存在的证书文件夹路径 `/etc/letsencrypt/live/example.com/` 下面包含了私钥和公钥等重要资料,这些都将被用来配合Nginx或其他Web服务器软件一起工作以提供HTTPS服务支持。 为了让整个流程更加自动化,还可以编写一个简单的脚本来定期检查尝试更新现有的SSL证书。通常情况下会将此类任务安排到系统的定时任务计划当中去执行,比如Linux下的Cron Jobs就是一种非常方便的选择之一。 编辑crontab文件加入下面这行代码可以让系统每天凌晨两点钟自动检测是否有可用的新版证书可供替换旧版本使用。 ```bash 0 2 * * * /usr/bin/certbot renew --quiet && systemctl reload nginx ``` 上述命令不仅实现了对Let's Encrypt颁发给我们的短期有效期SSL凭证的有效管理;同时也确保了当有新版本发布时能及时获取最新安全补丁从而更好地维护站点安全性。 最后需要注意的是自2023年起,阿里云官方已将其所提供的免费型SSL产品生命周期缩短至90天以内,因此建议广大开发者朋友们尽早规划好各自的证书轮换策略以免影响线上业务正常运转[^2]。 通过以上介绍的方法,可以有效地简化SSL证书管理和维护的工作量,提高效率的同时也增强了网站的安全防护能力[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值