Let's Encrypt 申请ssl证书

最新推荐文章于 2023-12-21 16:17:32 发布
最新推荐文章于 2023-12-21 16:17:32 发布
阅读量211 收藏
点赞数
文章标签: nginx java https linux php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20376949/article/details/111414898
版权
1.安装acme.sh

https://github.com/acmesh-official/acme.sh/wiki/%E8%AF%B4%E6%98%8E

curl  https://get.acme.sh | sh

在该脚本的安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中: ~/.acme.sh/
安装完后执行acme.sh,如果提示命令没找到,执行下列命令

source ~/.bashrc

运行后会创建一条 alias和定时任务 ,如果不放心,可以手动再添加一次。

alias acme.sh=~/.acme.sh/acme.sh

用crontab -l可以看到自动创建的定时任务

image.png
2.配置acme

这里以cloudflare为例

image.png
image.png

设置变量值,把刚才的key和你Cloudflare邮箱填上去。

export CF_Key="key"
export CF_Email="你的邮箱"
3.生成证书

domain.com换成你的域名

acme.sh  --issue  --dns dns_cf -d domain.com -d *.domain.com

如果出现下面错误可以将~/.acme.sh文件夹删除后重新安装即可

image.png

生成后,证书会放在 ~/.acme.sh/ 目录里,但是由于过期什么的证书会变化,所以不要直接使用。而是使用acme.sh –install-cert命令复制到指定目录,目录位置和名字由你设置,–reloadcmd可以设置你操作后执行的命令,由于我移动到/usr/local/nginx/ssl目录下,需要提前创建目录。

mkdir -p /usr/local/nginx/ssl
acme.sh --install-cert -d domain.com \
--cert-file      /usr/local/nginx/ssl/cert.pem  \
--key-file       /usr/local/nginx/ssl/key.pem  \
--fullchain-file /usr/local/nginx/ssl/fullchain.pem  \
--reloadcmd   "service nginx restart"
3.nginx配置证书
user nginx nginx;
worker_processes  auto;

error_log  logs/error.log;
error_log  logs/error.log  notice;
error_log  logs/error.log  info;

pid        logs/nginx.pid;

events {
    worker_connections  10240;
    multi_accept on;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

    sendfile        on;
    tcp_nopush      on;
    tcp_nodelay     on;

    keepalive_timeout  65;

    client_max_body_size 16M;
    server_names_hash_bucket_size 512;
    client_header_buffer_size 32k;
    large_client_header_buffers 4 32k;

    fastcgi_connect_timeout 300;
    fastcgi_send_timeout 300;
    fastcgi_read_timeout 300;
    fastcgi_buffer_size 64k;
    fastcgi_buffers 4 64k;
    fastcgi_busy_buffers_size 128k;
    fastcgi_temp_file_write_size 256k;
    fastcgi_intercept_errors on;

    gzip on;
    gzip_min_length  1k;
    gzip_buffers     4 16k;
    gzip_http_version 1.1;
    gzip_comp_level 2;
    gzip_types     text/plain application/javascript application/x-javascript text/javascript text/css application/xml;
    gzip_vary on;
    gzip_proxied   expired no-cache no-store private auth;
    gzip_disable   "MSIE [1-6]\.";

    limit_conn_zone $binary_remote_addr zone=perip:10m;
    limit_conn_zone $server_name zone=perserver:10m;

    server_tokens off;
    access_log off;

    server {
        listen 443;
        server_name  domain.com www.domain.com;
        index  index.html index.htm index.php;
        root   html/blog;

        ssl on;
        ssl_certificate /usr/local/nginx/ssl/cert.pem;
        ssl_certificate_key /usr/local/nginx/ssl/key.pem;
        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;  

        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
        {
            expires      30d;
        }

        location ~ .*\.(js|css)?$
        {
            expires      12h;
        }

        location ~ /\.ht {
            deny  all;
        }
    }

    server {
        listen 80;
        server_name domain.com www.domain.com;
        rewrite ^(.*)$ https://$host$1 permanent;
    }
#拒绝IP直接访问
    server {
        listen 80 default;
        server_name _;
        return 403;
      }

}

以上是api自动dns方式,手动dns方式和HTTP 方式,dns方式的好处是, 你不需要任何服务器, 不需要任何公网 ip, 只需要 dns 的解析记录即可完成验证。

HTTP 方式

http 方式需要在你的网站根目录下放置一个文件, 来验证你的域名所有权,完成验证. 然后就可以生成证书了.

acme.sh  --issue  -d clsn.io -d *.clsn.io  --webroot  /www/wwwroot/clsn.io/

只需要指定域名, 并指定域名所在的网站根目录. acme.sh 会全自动的生成验证文件, 并放到网站的根目录, 然后自动完成验证. 最后会聪明的删除验证文件. 整个过程没有任何副作用.
如果你用的 apache服务器, acme.sh 还可以智能的从 apache的配置中自动完成验证, 你不需要指定网站根目录:

acme.sh --issue  -d clsn.io   --clsn.io

如果你用的 nginx服务器, 或者反代, acme.sh 还可以智能的从 nginx的配置中自动完成验证, 你不需要指定网站根目录:

acme.sh --issue  -d clsn.io  --nginx

注意, 无论是 apache 还是 nginx 模式, acme.sh在完成验证之后, 会恢复到之前的状态, 都不会私自更改你本身的配置. 好处是你不用担心配置被搞坏。
该类型的配置有一个缺点, 你需要自己配置 ssl 的配置, 否则只能成功生成证书, 你的网站还是无法访问https. 但是为了安全, 你还是自己手动改配置吧.
如果你还没有运行任何 web 服务, 80 端口是空闲的, 那么 acme.sh 还能假装自己是一个webserver, 临时听在80 端口, 完成验证:

acme.sh  --issue -d clsn.io   --standalone

更高级的用法请参考: https://github.com/Neilpang/acme.sh/wiki/How-to-issue-a-cert

qq_20376949
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Let's Encrypt官网一键式免费申请ssl证书脚本
08-30
Let's Encrypt官网一键式免费申请ssl证书脚本, 使用方法是放到linux环境下, 给出执行权限rwx即可 chmod -R 700 certbot-auto , 之后./certbot-auto执行, 过程中会让你选择apache(1)还是nginx(2), 之后还会让你输入...
申请Let‘s Encrypt永久免费SSL证书
热门推荐
栗少的博客
07-09 2万+
Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。 Let's Encrypt免费SSL证书的出现,也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止,Let's Encrypt获得IdenTrust交叉签名,这就是说可以应用且支持包括FireFox、Chrome在内的主流浏览
Let’s Encrypt SSL 证书申请与使用
01-26 3976
Let’s Encrypt 是免费、开放和自动化的证书颁发机构。SSL应用开发者可以免费从 Let’s Encrypt 申请到有效期90天的SSL证书,当然在到期之前也可以更新证书,延长有效期。Let’s Encrypt 支持 ACME 协议,可以自动化的完成SSL证书申请、更新、吊销等操作。
最新版 Let’s Encrypt免费证书申请步骤,保姆级教程
了迹奇有没
12-05 6622
最近将域名迁到了google domain,就研究了一下Let’s Encrypt的域名证书配置。发现网上找到的教程在官方说明中已经废弃,所以自己写一个流程记录一下。
申请Let‘s Encrypt证书
janthinasnail的博客
12-14 1330
2、在服务器添加nginx配置,test.example.com.conf文件内容如下。9、浏览器访问https://test.example.com,并查看证书信息。入门指南 - Let's Encrypt - 免费的SSL/TLS证书。在Certbot页面写HTTP website的运行环境,如。然后按任意键(Press Enter to Continue)根据返回的结果,需要在项目所在的路径创建。7、nginx配置ssl证书。1、域名控制台添加域名,如。根据上面的步骤,依次安装。
申请Let‘s Encrypt免费SSL证书、自动化续签证书
赵昕彧
06-08 3403
使用certbot工具能够很方便的申请和续签let’s encript证书。这里配置的是每周一 10点执行一次,根据个人需求更改配置即可。站点目录:html文件保存位置,只需要到文件夹即可。联系人email地址:写自己的邮箱即可。3、加入命令(续签并重载nginx配置),如果没有安装Nginx则需要先安装。1、根据需求,选择下面两句话之一。5、可以查看一下证书有效期。6、配置Nginx(参考)2、安装 certbot。站点域名:购买的域名。2、加入crontab。4、申请成功后,会在。
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
Let’s Encrypt免费SSL证书获取以及自动续签,配合Nginx实测有效
Let's Encrypt证书申请
03-27
Let's Encrypt 证书申请 SSL证书 SSL 详细说明如何申请Let's Encrypt证书
基于let's encrypt的通配符证书.pptx
07-29
介绍了使用letsencrypt 申请多种 https 免费证书的不同方法,其中用 dns 的方式申请通配符的证书比较省事,在有公网映射,内外网80和443端口映射不一致的环境下推荐使用。
windows Let's Encrypt工具
08-21
Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,靠谱! 3、Let's Encrypt安装部署简单、方便,目前Cpanel、Oneinstack等面板都已经集成了...
Let’sEncrypt永久免费SSL证书过程教程
MojxTang_Blog
10-08 1979
http 和 https 是什么? http 是一个传输网页内容的协议,比如你看到的 http 开头的网站 http://www.baidu.com,其网页上的文字、图片、 CSS 、 JS 等文件都是通过 http 协议传输到我们的浏览器,然后被我们看到。 而 https 可以理解为“ HTTP overSSL/TLS”,http 为什么需要“ over...
Let‘s Encrypt免费安全证书的步骤及使用-基于centos9, 包括工具certbot安装及使用,获取apache、nginx、iis等服务器安全证书
zrc_xiaoguo的博客
12-07 4170
Certbot 是一个由 Electronic Frontier Foundation(EFF)支持的免费、开源的工具,用于自动化获取、部署和更新 HTTPS 证书。它是为了方便使用 Let's Encrypt 服务而开发的,允许用户在 Web 服务器上快速设置 SSL/TLS 加密连接。
let‘s encrypt免费https证书(certbot)
qq_39168874的博客
09-23 3762
let's encrypt免费https证书(certbot)准备工作访问let's encrypt官网具体配置步骤第一步,以具有 sudo 权限的用户身份通过​​ SSH 连接到运行您的 HTTP 网站的服务器第二步,安装 snapd第三步,确保您的 snapd 版本是最新的第四步,删除 certbot-auto 和任何 Certbot OS 包第五步,安装证书第六步,设置Certbot软链接第七步,生成证书第八步,测试自动续期第九步,配置nginx 准备工作 centos服务器 nginx部署站点
Let's Encrypt申请证书-保姆教程
自由人
11-21 4062
前言: 什么是http?什么又是https? http 是一个传输网页内容的协议,比如你看到的 http 开头的网站 http://www.baidu.com,其网页上的文字、图片、 CSS 、 JS 等文件都是通过 http 协议传输到我们的浏览器,然后被我们看到。而 https 可以理解为“ HTTP overSSL/TLS”,http 为什么需要“ overSSL/TLS”呢,因...
免费的SSL证书(Let‘s Encrypt / acme)
weixin_45602663的博客
08-31 3033
是一个由非营利性组织(ISRG)提供的免费、自动化和开放的证书颁发机构(CA)。简单的说,借助 Let’s Encrypt 颁发的证书可以为我们的网站免费启用 HTTPS(SSL/TLS)。Let’s Encrypt免费证书的签发/续签都是脚本自动化的,官方提供了几种证书申请方式方法,快速浏览。官方推荐使用客户端来签发证书,这种方式可参考文档自行尝试,不做评价。我这里直接使用第三方客户端。......
SSLHTTPSLet‘s Encrypt 使用教程,免费的 SSL 证书,让你的网站拥抱 HTTPS
最新发布
不纯正的逼格的专栏
12-21 361
Let’s Encrypt 已经得了 IdenTrust 的交叉签名,这意味着其证书现在已经可以被 Mozilla、Google、Microsoft 和 Apple 等主流的浏览器所信任,你只需要在 Web 服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let’s Encrypt 安装简单,使用非常方便。在我们使用 HTTP 的时候,打开网页总会遇到第三方偷偷加的一些脚本广告,很是烦人,升级 HTTPS 后他们就无从下手了,欧耶。–post-hook 执行更新操作完成后要做的事情。
Let’s Encrypt免费证书获取方法
weixin_43674090的博客
02-15 4240
Let’s Encrypt 免费证书获取方式
HTTPS 简介及使用官方工具 Certbot 配置 Let’s Encrypt SSL 安全证书详细教程
jevior的博客
11-21 1612
由于 51 版本开始 Firefox 逐渐从 HTTP 过渡到 HTTPS, 如果用户访问的页面是 HTTP 的,也就是不安全的页面,而页面里面包含表单登录信息,特别是含有密码输入框,那么 Firefox 会在地址栏左侧显示一个包含斜杠的红色挂锁图标,点击以后会提示用户该页面不安全,登录框信息可能会被盗用。 这项功能的出现,使很多用户误以为“自己访问了不安全的网站”,目前大多数支付,购物,邮箱网站都使用了 HTTPS 加密,而有相当一部分网站受困于成本,或是暂时没有加密的动力,仍使用的是 HTTP。一
【为域名申请免费的SSL证书,实现启用HTTPS加密】
CS@zeny的博客
05-06 2117
使用免费的SSL证书,开启https安全连接
let's encrypt官网一键式免费申请ssl证书脚本
09-04
let's encrypt是一个非盈利性质的机构,致力于提供免费的SSL证书服务,以促进整个互联网的安全性。在官网上,他们提供了一键式免费申请SSL证书的脚本,使得用户可以快速而简便地获取自己网站的SSL证书。 这个一键式免费申请SSL证书脚本的使用非常简单。首先,用户需要在自己的网站服务器上安装并配置好Certbot工具。Certbot是一个由let's encrypt官方开发的自动化工具,用于申请和更新SSL证书。 在安装和配置好Certbot之后,用户只需要在命令行中输入一条简单的指令,就可以申请自己网站的SSL证书了。具体指令如下: $ sudo certbot certonly --standalone -d <your_domain> 其中,“<your_domain>”替换为用户自己的域名。这条指令的作用是告诉Certbot以standalone模式运行,并申请一个新的证书,该证书将与用户输入的域名关联。 Certbot会自动与let's encrypt的服务器进行通信,验证用户所拥有的域名和服务器的控制权。一旦验证通过,Certbot就会生成一个有效期为90天的SSL证书,并将其保存在用户指定的位置。 用户可以根据自己的需要选择将证书文件保存到哪个目录,以及将其用于哪个Web服务器(例如Apache或Nginx)。 值得一提的是,这个一键式免费申请SSL证书脚本还支持自动续订证书的功能。Certbot会在证书即将过期之前自动执行更新过程,以确保用户的网站能够持续使用最新的SSL证书。 总之,let's encrypt官网提供的一键式免费申请SSL证书脚本极大地简化了证书申请和管理的过程,让网站拥有更安全可靠的加密通信。用户只需几个简单的步骤,就能轻松获得免费的SSL证书,提升网站的安全性和可信度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值