使用Let's Encrypt申请永久免费通配符证书

最新推荐文章于 2024-05-06 21:45:48 发布
最新推荐文章于 2024-05-06 21:45:48 发布
阅读量5.2k 收藏 11
点赞数 3
分类专栏: Linux下疯狂操作 运维相关 文章标签: 通配符证书 https Let's Encrypt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25417713/article/details/82907426
版权

由于现在网络安全形势的影响,大多数网站都启用了https。本文介绍一种申请永久免费的通配符证书的方法,可以适配一个域名下的所有站点(例如:www.abc.com和子域名ss.abc.com都可以用一个证书启用https)。
我所使用的申请证书的环境是Centos7,因为这个是官方提供的是一个python的程序,有一些依赖的库,要pip下载,因为有些链接容易超时,还是建议把pip的源改到中国来

申请方式
首先,下载程序,在shell下面执行:

wget https://dl.eff.org/certbot-auto

接着进行证书申请(我们这里假设申请*.abc.com这个域名的证书)

./certbot-auto certonly  -d *.abc.com --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory

可能会安装一些依赖的库,出现一些选项都选择yes,然后会配置一条DNS的TXT记录,验证域名的所有权,过后就会成功申请证书。
证书会生成在这个目录下/etc/letsencrypt/archive/,总共有4个文件,如下:
cert1.pem 公钥
chain1.pem 证书
fullchain1.pem 公钥加证书
privkey1.pem 私钥

其他
如果windows要使用的话,需要把私钥转化成后缀为pfx格式的,命令如下(生成的pfx为test.pfx):

openssl pkcs12 -export -out test.pfx -inkey privkey.pem -in cert.pem

如果是tomcat要使用的话,需要将刚刚的pfx再进行转化,需要注意下面的命令设置的密码,比如和pfx的密码相同,命令如下(生成server.jks):

keytool -importkeystore -srckeystore test.pfx -destkeystore server.jks -srcstoretype PKCS12 -deststoretype JKS
keytool -importkeystore -srckeystore server.jks -destkeystore server.jks -deststoretype pkcs12

ps:注意这里申请的证书有效期是3个月,到期后需要再进行上述操作。
pps:今天在续期的时候,发现官方给出了,运行certbot-auto renew可以续期证书,大家可以试试

自动续期证书
续期证书远没有上面说的那么简单,因为续期证书的时候会检查域名的所有权(就是上面说的在DNS配置txt记录),官方提供的办法是将DNS的TXT记录插入进去的脚本,然后再验证你的域名所有权。
使用的命令是

certbot certonly --manual --manual-auth-hook /path/to/http/authenticator.sh --manual-cleanup-hook /path/to/http/cleanup.sh -d secure.example.com

前面那个文件authenticator.sh是在你的域名的DNS中插入TXT,后面是清理之前的TXT记录。官方给出的是cloudflare的实例,可以更改成阿里云等等的。
上面提到的两个文件源码如下
authenticator.sh:

#!/bin/bash

# Get your API key from https://www.cloudflare.com/a/account/my-account
API_KEY="your-api-key"
EMAIL="your.email@example.com"

# Strip only the top domain to get the zone id
DOMAIN=$(expr match "$CERTBOT_DOMAIN" '.*\.\(.*\..*\)')

# Get the Cloudflare zone id
ZONE_EXTRA_PARAMS="status=active&page=1&per_page=20&order=status&direction=desc&match=all"
ZONE_ID=$(curl -s -X GET "https://api.cloudflare.com/client/v4/zones?name=$DOMAIN&$ZONE_EXTRA_PARAMS" \
     -H     "X-Auth-Email: $EMAIL" \
     -H     "X-Auth-Key: $API_KEY" \
     -H     "Content-Type: application/json" | python -c "import sys,json;print(json.load(sys.stdin)['result'][0]['id'])")

# Create TXT record
CREATE_DOMAIN="_acme-challenge.$CERTBOT_DOMAIN"
RECORD_ID=$(curl -s -X POST "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/dns_records" \
     -H     "X-Auth-Email: $EMAIL" \
     -H     "X-Auth-Key: $API_KEY" \
     -H     "Content-Type: application/json" \
     --data '{"type":"TXT","name":"'"$CREATE_DOMAIN"'","content":"'"$CERTBOT_VALIDATION"'","ttl":120}' \
             | python -c "import sys,json;print(json.load(sys.stdin)['result']['id'])")
# Save info for cleanup
if [ ! -d /tmp/CERTBOT_$CERTBOT_DOMAIN ];then
        mkdir -m 0700 /tmp/CERTBOT_$CERTBOT_DOMAIN
fi
echo $ZONE_ID > /tmp/CERTBOT_$CERTBOT_DOMAIN/ZONE_ID
echo $RECORD_ID > /tmp/CERTBOT_$CERTBOT_DOMAIN/RECORD_ID

# Sleep to make sure the change has time to propagate over to DNS
sleep 25

cleanup.sh

#!/bin/bash

# Get your API key from https://www.cloudflare.com/a/account/my-account
API_KEY="your-api-key"
EMAIL="your.email@example.com"

if [ -f /tmp/CERTBOT_$CERTBOT_DOMAIN/ZONE_ID ]; then
        ZONE_ID=$(cat /tmp/CERTBOT_$CERTBOT_DOMAIN/ZONE_ID)
        rm -f /tmp/CERTBOT_$CERTBOT_DOMAIN/ZONE_ID
fi

if [ -f /tmp/CERTBOT_$CERTBOT_DOMAIN/RECORD_ID ]; then
        RECORD_ID=$(cat /tmp/CERTBOT_$CERTBOT_DOMAIN/RECORD_ID)
        rm -f /tmp/CERTBOT_$CERTBOT_DOMAIN/RECORD_ID
fi

# Remove the challenge TXT record from the zone
if [ -n "${ZONE_ID}" ]; then
    if [ -n "${RECORD_ID}" ]; then
        curl -s -X DELETE "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/dns_records/$RECORD_ID" \
                -H "X-Auth-Email: $EMAIL" \
                -H "X-Auth-Key: $API_KEY" \
                -H "Content-Type: application/json"
    fi
fi

目前我还没有测试自动续期,先贴出官方的代码。
具体可以参考官方文档:https://certbot.eff.org/docs/using.html#pre-and-post-validation-hooks
如果不想这么麻烦使用自动续期,那么就重复上面的操作就可以了

N1ne丶Sun
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Let's Encrypt证书申请
03-27
Let's Encrypt 证书申请 SSL证书 SSL 详细说明如何申请Let's Encrypt证书
申请 Let's Encrypt 通配符 HTTPS 证书
weixin_34130269的博客
06-06 309
一、背景知识 1.1、什么是通配符证书 通配符证书,又叫泛域名证书,一张通配符证书可以保护一个域名下同级子域名,使他们都变成 https 加密链接,不需要配置一个子域名申请一个新证书了,而且不限制子域名数量,这也使得随时增加子域名的同时并不需要额外的付费,对于有多个子域名尤其是子域名数量很多的用户,性价比很高,大大的节约了大量的时间和金钱成本。 1.2、什么是 Let’s Encrypt 部署...
免费通配符SSL证书吗?通配符证书申请
最新发布
2402_83162493的博客
05-06 587
证书在部署安装完成后该证书则能保护所有绑定的域名从而实现https的加密访问,值得一提的是,如果绑定的域名过多,则也会在一定程度上增加成本,一般情况下绑定的无关联域名越多,支出成本则会越高。常见的单域名证书以及多域名证书证书安全等级皆分为DV、OV、EV级别,而通配符证书则不同,虽说都是起到保护域名实现https的加密传输,但通配符证书只支持DV(域名验证)、OV(组织验证)级别的证书而没有EV(扩展验证)级别的,所以在选择通配符证书时也要多留意。性和可靠性,真正实现让您的网站“更安全,更可信”的使命。
Let's Encrypt 通配符证书
qq_20376949的博客
02-01 396
经过两次跳票,Let’s Encrypt 终于在社区宣布支持通配符证书,相关的新闻和技术点见: ACME v2 and Wildcard Certificate Support is Live ACME v2 Production Environment & Wildcards 什么是 Let’s Encrypt? 部署 HTTPS 网站的时候...
申请Let’s Encrypt通配符证书
david394的博客
06-29 758
声明:本文全部内容为原创内容,禁止在未经授权的情况下进行任何二次创作和修改,转载请注明出处。 摘要 这篇文章将会介绍如何申请Let’s Encrypt通配符证书。 步骤一:下载certbot客户端 在最新版本中,certbot是用于部署SSL证书的客户端,下载certbot客户端并赋予文件可执行权限: # 下载certbot客户端 ~$ wget https://dl.eff.org/certbot-auto # 赋予可执行权限 ~$ chmod a+x certbot-auto 步骤二:运行客户端 假
Let's Encrypt 申请ssl证书
qq_20376949的博客
12-19 213
1.安装acme.sh https://github.com/acmesh-official/acme.sh/wiki/%E8%AF%B4%E6%98%8E curl https://get.acme.sh | sh 在该脚本的安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中: ~/.acme.sh/ 安装完后执行acme.sh,如果提示命令没找到,执行下列命令 sour...
基于let's encrypt通配符证书.pptx
07-29
介绍了使用letsencrypt 申请多种 https 免费证书的不同方法,其中用 dns 的方式申请通配符证书比较省事,在有公网映射,内外网80和443端口映射不一致的环境下推荐使用
Let's Encrypt官网一键式免费申请ssl证书脚本
08-30
Let's Encrypt官网一键式免费申请ssl证书脚本, 使用方法是放到linux环境下, 给出执行权限rwx即可 chmod -R 700 certbot-auto , 之后./certbot-auto执行, 过程中会让你选择apache(1)还是nginx(2), 之后还会让你输入...
Certbot:从Let's Encrypt永久获得免费HTTPS证书-开源
04-14
获取和维护证书通常很麻烦,但是使用Certbot和Let's Encrypt,它变得自动化且无麻烦。 仅需几个简单的命令,就可以打开和管理HTTPS。 Certbot直接在Web服务器上运行,因此请确保首先与托管服务提供商联系,以确保您...
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
Let’s Encrypt免费SSL证书获取以及自动续签,配合Nginx实测有效
申请免费Let‘s Encrypt通配符HTTPS证书
兰辉
05-08 456
申请免费Let's Encrypt通配符HTTPS证书 2018年,Let's Encrypt 宣布 ACME v2 正式支持通配符证书,但是这个证书有效期是3个月一签 配置环境: 操作系统: centos 7.8 工具:certbot 网上有些文章会告诉你是使用:certbot-auto ,但是这个工具官方 2021年1月 通知不再支持所有的操作系统 一,安装工具certbot 1,先安装epel yum install epel-release 2,安装snapd yum ins..
快速配置Let's encrypt通配符证书
为什么我是菜鸟
05-14 7308
利用certbot工具配置Let’s encrypt通配符证书,所域名下所有的子域名都能方便的使用 https证书,而且完全免费。值得关注的是,Let’s encrypt通配符证书只是针对二级域名,并不能针对主域名,如*.hubinqiang.com和hubinqiang.com 被认为是两个域名,如果和我一样使用的是主域名,在申请的时候需要注意都要申请。 配置环境 操作系统:Ubuntu16...
申请Let's Encrypt永久免费SSL证书
我是菜鸟
11-15 411
文章目录1 安装 git2 获取Let's Encrypt免费SSL证书3 Let's Encrypt免费SSL证书获取与应用4 nginx配置5 、解决Let's Encrypt免费SSL证书有效期问题 1 安装 git yum instll git 2 获取Let’s Encrypt免费SSL证书 #获取letsencrypt git clone https://github.co...
let's encrypt免费证书申请使用
deeplearnings的博客
08-16 4854
一、let's encrypt 下载 let's encrypt是国外一家提供免费ssl域名证书的机构,申请过程非常简单,但是免费期只有90天,不过到期可以免费续签。 下载let's encrypt的注册工具: git clone https://github.com/certbot/certbot.git  /soft/certbot   二、申请证书 申请有两种方法: 方法一 (...
centos Let‘s Encrypt 免费https证书申请,并且自动续约
gitxuzan
10-25 2975
下载安装 cerbot。下载 snap 工具。
申请Let‘s Encrypt证书
janthinasnail的博客
12-14 2419
2、在服务器添加nginx配置,test.example.com.conf文件内容如下。9、浏览器访问https://test.example.com,并查看证书信息。入门指南 - Let's Encrypt - 免费的SSL/TLS证书。在Certbot页面填写HTTP website的运行环境,如。然后按任意键(Press Enter to Continue)根据返回的结果,需要在项目所在的路径创建。7、nginx配置ssl证书。1、域名控制台添加域名,如。根据上面的步骤,依次安装。
Let's Encrypt申请证书使用
weixin_30752699的博客
05-03 470
Let's Encrypt是一个免费的、自动的,开放的CA。 形形色色有证书扩展名和类型,我是通过这篇文章明白个大体的:http://www.cnblogs.com/guogangj/p/4118605.html 一.windows下证书生成。   1.工具的使用     参考certify,使用ACMESharp写了一个windows下Let's Encrypt证书申请工具,g...
最新版 Let’s Encrypt免费证书申请步骤,保姆级教程
了迹奇有没
12-05 8277
最近将域名迁到了google domain,就研究了一下Let’s Encrypt域名证书配置。发现网上找到的教程在官方说明中已经废弃,所以自己写一个流程记录一下。
Let‘s Encrypt免费安全证书的步骤及使用-基于centos9, 包括工具certbot安装及使用,获取apache、nginx、iis等服务器安全证书
zrc_xiaoguo的博客
12-07 7275
Certbot 是一个由 Electronic Frontier Foundation(EFF)支持的免费、开源的工具,用于自动化获取、部署和更新 HTTPS 证书。它是为了方便使用 Let's Encrypt 服务而开发的,允许用户在 Web 服务器上快速设置 SSL/TLS 加密连接。
怎么使用python代码向let's encrypt申请证书
06-10
使用 Python 代码向 Let's Encrypt 申请证书,您可以使用 ACME 协议客户端库,例如 Certbot 或 ACME 客户端。 以下是使用 Certbot 的 Python 代码示例: 1. 安装 Certbot: ``` pip install certbot ``` 2. 导入 Certbot 模块: ``` from certbot import main as certbot_main ``` 3. 准备 Certbot 命令行参数: ``` argv = ["certonly", "--webroot", "-w", "/var/www/html", "-d", "example.com"] ``` 这将使用 webroot 插件从 Let's Encrypt 获取证书,并将证书保存到 /etc/letsencrypt/live/example.com 目录中。 4. 运行 Certbot: ``` certbot_main.main(argv) ``` 这将运行 Certbot 命令并从 Let's Encrypt 获取证书。 请注意,使用 Python 代码获取 Let's Encrypt 证书需要具有管理员权限。因此,您需要以管理员身份运行 Python 脚本。另外,您还需要配置您的 Web 服务器以在获取证书后正确使用它们。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值