自动获取https签名

最新推荐文章于 2021-08-12 21:57:32 发布
最新推荐文章于 2021-08-12 21:57:32 发布
阅读量542 收藏 1
点赞数
分类专栏: web 文章标签: nginx https openssl 网站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27012093/article/details/86637102
版权

说明

[domain] 为网站域名,注意对应修改

准备工作

  • 安装openssl
  • 创建存放ssl证书文件夹mkdir ssl

创建账号

openssl genrsa 4096 > account.key

创建CSR文件

  • 创建域名私钥

openssl genrsa 4096 > [domain].key

  • 生成 CSR 文件

    • 单域名

    openssl req -new -sha256 -key [domain].key -subj "/CN=[domain].com" > [domain].csr

    • 多域名

    openssl req -new -sha256 -key [domain].key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:[domain].com,DNS:www.[domain].com,DNS:subdomain.[domain].com")) > [domain].csr

配置验证服务

  • 创建验证文件夹

mkdir -p data/challenges/

  • 再配置一个 HTTP 服务,例如 Nginx:
server {
  server_name www.[domain].com [domain].com subdomian.[domain].com;
  location ^~ /.well-known/acme-challenge/ {
    #存放验证文件的目录,需自行更改为对应目录
    alias /root/ssl/data/challenges/;                
    try_files $uri =404;
  }
  location / {
    rewrite ^/(.*)$ https://[domain].com/$1 permanent;
  }
}

签发证书

wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
python acme_tiny.py --account-key ./account.key --csr ./[domain].csr --acme-dir /root/ssl/data/challenges/ > ./signed.crt
openssl dhparam -out dhparams.pem 2048
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem

配置nginx

user root;
worker_processes  4;

error_log  /var/log/nginx/error.log warn;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;
    #gzip  on;
server {
  listen       80;
  server_name www.[domain].com [domain].com;
  location ^~ /.well-known/acme-challenge/ {
    #存放验证文件的目录,需自行更改为对应目录
    alias /root/ssl/data/challenges/;
    try_files $uri =404;
  }
  location / {
    rewrite ^/(.*)$ https://[domain].com/$1 permanent;
  }
}

server {
  listen 443;
  server_name [domain], www.[domain];
  ssl on;
  ssl_certificate /root/ssl/chained.pem;          #根据你的路径更改
  ssl_certificate_key /root/ssl/[domain].key;       #根据你的路径更改
  ssl_session_timeout 5m;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
  ssl_session_cache shared:SSL:50m;
  ssl_dhparam /root/ssl/dhparams.pem;        #根据你的路径更改
  ssl_prefer_server_ciphers on;
            location / {
                    include        uwsgi_params;
                    uwsgi_pass     127.0.0.1:27456;
            }

            location /static/ {
                alias  /root/myweb/static/;
            }
             location /media{
                alias /root/myweb/media;
        }

}

}

配置自动更新

  • 创建自动更新脚本
touch ./renew_cert.sh
chmod a+x ./renew_cert.sh
  • 添加文件内容
python /root/ssl/acme_tiny.py --account-key /root/ssl/account.key --csr /root/ssl/[domain].csr --acme-dir /root/ssl/data/challenges/ > /root/ssl/signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > /root/ssl/intermediate.pem
cat /root/ssl/signed.crt /root/ssl/intermediate.pem > /root/ssl/chained.pem
nginx -s reload

更多内容请看:https://www.sunjackson.com

SunJackson
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iOS自动打包脚本,具有打包、重签名自动上传及发邮件功能 基于Python开发+源代码+文档说明
12-01
我们先获取`pip`安装脚本:`wget https://bootstrap.pypa.io/get-pip.py` 如果没有安装`wget`可以执行`brew install wget`安装 + 2.安装pip `sudo python get-pip.py` + 4、安装Python虚拟环境virtualenv + `$ ...
时间戳的获取方式
weixin_38798597的博客
11-22 5437
1.可以搜索在线转换工具 随便找个方便使用,界面好看的就可以啦。 我一般用https://tool.lu/timestamp/ 2.js获取时间戳 //获取当前时的时间戳 new Date().getTime() //获取某个时间的时间戳 new Date(“2021-11-18 18:00:00”).getTime() 想要某个时间的时间戳,输入就可以了 //获取的是以ms为单位的,想要获取以s为单位的,除以1000就可以了 new Date().getTime()/1000 //获取当前时间2分钟
十分钟搞懂https签名
effort6的博客
12-24 1325
一、基本概念 1.1 对称加密、非对称加密、摘要算法 对称加密:采用相同的秘钥进行加密和解密,如AES、DES等 优点:计算量小、加密速度快、效率高 缺点:需要提前协商固定秘钥、秘钥容易泄露 非对称加密:加密和解密需要两个不同的秘钥:公钥和私钥,如RSA、DSA等。非对称加密采用复杂的算法,私钥加密的数据需要公钥解密;反之公钥加密的数据需要私钥解密。通过公钥解密公钥加密的数据难度极大,所以对外公开公钥相对比较安全。 优点:安全 缺点:速度慢,效率低 摘要算法(Hash算法):是一种单向算法,用
数字签名到底是什么鬼?
Python之禅
02-28 1525
数字签名除了应用在火热的区块链技术中之外,HTTPS中也有使用,数字签名类似于纸质合同,合同上必须有签名才认为是一份有效的合同,否则它就是没有法律效力的,因为别人可以对内容进行篡改。数字签名用于证实数据内容的完整性(integrity)和来源(或不可抵赖,non-repudiation)。一个典型的场景:张三给李四发一个文件,李四怎么知道他接收的文件是张三发的原始文件?张三可以这样做,先对文件进行
HTTPS(一)自签名https
YongYu_IT的专栏
03-23 2648
1、准备一个空白的CentOS 查看系统版本 $ su # cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core)  2、安装RoR环境 参照《CentOS 7 快速安装RoR环境 》 安装结果: $ ruby -v ruby 2.4.1p111 (2017-03-22 revision 58053) [x86_64...
HTTPS传输签名证书的获取
ideas press的专栏
02-22 667
在基于服务器采用https通讯时候,客户端通过获取服务器的证书,进行一系列验证,那么应该如何获取服务器的证书呢?#import "ViewController.h" @interface ViewController ()<NSURLSessionDelegate> @end @implementation ViewController - (void)viewDidLoad { [super vi
release-notes:包含fiskaltrust产品发行说明的存储库。 自动发布到https
03-22
sl 标题 /发行说明 发行说明 fiskaltrust发行说明 一个包含我们面向客户的产品和服务的发行说明的存储库,即中间件和门户。 这些发行说明将汇总所有与客户相关的更改。... 此外,我们添加了一个新签名,其中包含TS
Gmail的GroupDocs签名插件「GroupDocs Signature plugin for Gmail」-crx插件
03-15
3.选择签名后,GroupDocs将自动将其应用于文档,然后创建一个已附签名文档的响应电子邮件。而已! 除了回复的电子邮件外,GroupDocs还会将已签名文档的副本保存在您的GroupDocs帐户中。这样,你签署的所有文件将永远...
luogu-card:该项目由 https
04-10
自动从咕值排名中获取咕值 如何使用 基本信息 此卡片用于显示一个用户的基本信息,包括用户类型、关注、咕值排名、个性签名,具体使用方法如下: 仅使用图片:直接复制以下内容到任意 markdown 编辑器中,并将?id=...
getaltname:从HTTPS站点中的SSL证书中提取子域
04-13
它不是一个子域蛮力工具,您,该工具是关于该过程的自动化的,它还提供以下功能: 在终端上或使用文本文件定义多个主机:端口。 CSV或JSON输出,如果要将数据导出到其他工具中很有用。 您可以选择过滤出与您正在...
自动获取https代理
04-05
提供高可用的HTTP代理,api提取,适用软件中使用,IP一行一个。 使用时,实时可用。
TCP/IP协议族(三) 数字签名HTTPS详解
weixin_34402408的博客
02-14 123
前面几篇博客聊了HTTP的相关东西,今天就来聊一聊HTTPS的东西。因为HTTP协议本身存在着明文传输、不能很好的验证通信方的身份和无法验证报文的完整性等一些安全方面的确点,所以才有了HTTPS的缺陷。HTTPS确切的的说不是一种协议,而是HTTP + SSL (TSL)的结合体。HTTP报文经过SSL层加密后交付给TCP层进行传输。SSL(安全套节层)主要采取的是RSA(非对称加密)与AES(对...
linux自动生成证书,Linux生成TLS证书
weixin_34690611的博客
05-08 982
安装acme.sh证书的生成有许多方法,这里使用的是比较简单的方法:使用acme.sh脚本生成。注意:针对debian9系统,在执行安装acme.sh脚本之前,需要提前安装必备软件包。不然会有提示"It is recommended to install socat first"等错误信息提示。必备软件包安装执行命令:apt-get update && apt-get inst...
HTTPS 加密、证书、签名与握手
天行健,君子以自强不息;地势坤,君子以厚德载物。
08-12 510
HTTPS有什么用如果你对HTTPS了解不深,可能会觉得上了HTTPS就是把 http://变成 https://,然后有把小锁头在浏览器地址栏上。这看起来似乎可有可无。但是我们在申请 H...
https签名配置
12-21 1277
1、安装 iis60rkt 2、IIS Resources-SelfSSL 运行命令   selfssl.exe /N:CN=localhost /K:1024 /V:365 /S:2 /P:443    CN:域名   V:有效时间(天) 3、生成后到IIS中添加绑定生成的证书  4、客户端添加证书
https为什么还要用参数签名
beiduofen2011的专栏
05-21 1360
https被称为安全的http请求,是基于ssl协议来实现的,https = http+ssl ,可实现数据加密,身份认证,数字签名(防篡改) 但是近期有个需求前端跟后端建立起了https访问,但是又要对参数添加数字签名(一般使用MD5),是不是多此一举? 但是后来仔细看了一下项目的基础架构,类似于下图所示: 一个ssl证书是跟域名绑定的,而且是收费的,如果公司有很多业务服务器,所以不可能跟所有的业务服务器绑定,一般在设计中,业务服务器放置内网,相对来说比较安全,仍是通过http访问,像...
关于http转https签名的意见
不良少年
11-08 2161
一.前言简介 之前开发一直使用的是http,但是临时突然要改成https,把我折腾一番.最后总算是解决了问题. 二.两种签名 1.自签 ——>1.1.如果你们后台使用的是自签证书的形式,那么很有可能在你请求的时候会出现下面这种错误的提示Error Domain=NSURLErrorDomain Code=-999 "已取消" UserInfo={NSErrorFailingU
HTTPS演化过程(对称加密、非对称加密、公钥、私钥、数字签名、数字证书)
yangyang的专栏
08-04 6546
参考文章:http://www.cnblogs.com/bellkosmos/p/5234029.html
PHP自动获取协议http还是https
weixin_34212189的博客
10-20 430
2019独角兽企业重金招聘Python工程师标准>>> ...
java https 证书 获取
最新发布
04-29
4. 验证服务器证书:在建立安全连接后,HttpsURLConnection对象将自动验证服务器证书并比较其与客户端证书的签名。如果验证失败,则会抛出一个异常。 Java Https证书获取的过程中需要注意以下几点: 1. 证书的来源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值