博文目录
声明
本文的大部分操作参考Jerry Qu的Let’s Encrypt,免费好用的 HTTPS 证书,不过原文配置的HTTP服务是Nginx,本文是Tomcat9,如果你使用的也是Nginx,请移步Let’s Encrypt,免费好用的 HTTPS 证书,如果大家在使用时,发现什么问题,也欢迎在评论区一起讨论。
Let’s Encrypt, 免费好用的 HTTPS 证书
免费、自动化、开放的证书签发服务。它由 ISRG(Internet Security Research Group,互联网安全研究小组)提供服务,而 ISRG 是来自于美国加利福尼亚州的一个公益组织。Let’s Encrypt 得到了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等众多公司和机构的支持,发展十分迅猛。
申请 Let’s Encrypt 证书不但免费,还非常简单,虽然每次只有 90 天的有效期,但可以通过脚本定期更新,配好之后一劳永逸。
申请工具
Jerry Qu 没有使用官方的工具来申请,而是使用了acme-tiny 这个更为小巧的开源工具,我对HTTPS的申请不是很熟,这次是第一次申请,决定先按Jerry Qu的方式做一遍,同时记录下自己遇到的问题。
ACME 全称是 Automated Certificate Management Environment,直译过来是自动化证书管理环境的意思,Let’s Encrypt 的证书签发过程使用的就是 ACME 协议。有关 ACME 协议的更多资料可以在这个仓库找到。
创建帐号
首先创建一个目录,例如 /usr/ssl
,用来存放各种临时文件和最后的证书文件。进入这个目录,创建一个 RSA 私钥用于 Let’s Encrypt 识别你的身份:
[root@VM_195_229_centos usr]# mkdir ssl
[root@VM_195_229_centos usr]# cd ssl
[root@VM_195_229_centos ssl]# openssl genrsa 4096 > account.key
Generating RSA private key, 4096 bit long modulus
................................................................++
..........................................................................++
e is 65537 (0x10001)
[root@VM_195_229_centos ssl]# ls -l
total 4
-rw-r--r-- 1 root root 3243 Jul