Let‘s Encrypt免费SSL通配证书的申请与续期

最新推荐文章于 2024-02-18 15:33:00 发布
最新推荐文章于 2024-02-18 15:33:00 发布
阅读量569 收藏
点赞数 2
分类专栏: 开发工具 文章标签: ssl https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34330286/article/details/108536002
版权

Let’s Encrypt 是免费、开放和自动化的证书颁发机构。目前有很多网站使用Let’s Encrypt证书做https加密。我也一直在用,不过以前都是用的单域名证书,新建网站就需要重新申请,比较麻烦。但现在已经可以申请Let’s Encrypt通配证书了。

实际上,申请 Let’s Encrypt 生成证书的工具不止一种,我用过 cerbot 和 acme.sh。以前用 cerbot 申请的时候不得不停掉 80 端口的服务,感觉不太友好。后来用 acme.sh 简单一点,本文将介绍如何使用 acme.sh 来独立申请域名通配证书。

acme.sh 项目地址为https://github.com/acmesh-official/acme.sh,本文参考官方文档

一、安装

  • 1.安装socat和curl,以下以debian/ubuntu和alpine为例,其他Linux发行版自行搜索软件包

    apt install socat curl  # debian/ubuntu 环境
apk add socat curl      # alpine 环境

  • 2.安装 acmese.sh

    curl  https://get.acme.sh | sh

    安装完成之后会在当前目录下生成 .acme.sh 目录

二、生成证书

  • 1.配置域名服务商的AccessKey

申请域名证书可以手动添加域名解析验证。但使用域名服务商提供的 API 自动添加txt解析的方式来完成验证,会更方便后续实现自动化的ssl证书续订。

根据不同类型的域名服务商,我们选择对应的DNS API :https://github.com/acmesh-official/acme.sh/wiki/dnsapi

首先我们需要获取域名服务商提供的AccessKey,这是用来作为调用API的凭证。因为我的域名是在阿里云买的,这里以阿里云作为示例,可以点击这个链接申请阿里云的Accesskey:https://usercenter.console.aliyun.com/#/manage/ak

你可以使用全局的AccessKey,也可以使用子账号的AccessKey。因为全局AccessKey具有的阿里云账号的所有权限,更建议使用子账号。这里我使用子账号的AccessKey(但注意,子账号必须设置好dns相关权限),生成AccessKey ID 和 AccessKey Secret 如下图:
在这里插入图片描述

获取AccessKey ID和Access Scret后将它们加入到系统环境变量中

export Ali_Key="LTAI4GCqsh91TURz3hzNkapp"
export Ali_Secret="hyddKq5Dm9OBfpCftGRP9Uo3vcFRaa"
  • 2.生成证书

配置好之后,使用以下命令生成证书

.acme.sh/acme.sh --issue --dns dns_ali -d jkdev.cn -d *.jkdev.cn

这里生成两个证书,一个是 jkdev.cn 的,另一个使用 * 来代替,即可生成子域名的通配证书。生成证书过程中,会调用服务商API自动添加一条 txt 的域名解析验证,验证通过后会自动删除解析,这个过程对我们来说是无感知的。

注意:如果你没有使用的阿里云的域名,使用上面的命令是不管用的,请参考 二(1)中的 DNS API说明链接。

证书的有效期为90,80天之后续期,续期命令如下

.acme.sh/acme.sh --renew -d jkdev.cn -d *.jkdev.cn

当然了,你可以做成系统任务,自动化续期,这里不再说明

三、部署https网站

生成的证书可以用于Apache/Nginx等服务器,我用的是Apache,此处共享一下我的配置参数

<VirtualHost _default_:443>
	DocumentRoot "/var/www/html/www"
	ServerName www.jkdev.cn
	SSLEngine on
	SSLCertificateFile /etc/letsencrypt/live/ssl/test.phy/*.jkdev.cn.cer
   	SSLCertificateKeyFile /etc/letsencrypt/live/ssl/test.phy/*.jkdev.cn.key
    	SSLCertificateChainFile /etc/letsencrypt/live/ssl/test.phy/fullchain.cer
	<Directory "/var/www/html/www">
		Options Indexes FollowSymLinks
		AllowOverride All
		Require all granted
		ErrorDocument 404 https://www.jkdev.cn/404.html
	</Directory>
</VirtualHost>

有任何疑问,欢迎给博主留言!

极客开发者
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
证书加密工具
12-08
证书加密工具 protecel 证书加密工具 protecel 证书加密工具 protecel
centos7.6部署Nginx1.1.18中间件SSL加密证书改造步骤
10-27
Linux操作系统,生成SSL加密证书,部署验证。Nginx中间件部署SSL加密证书
Let‘s Encrypt 使用
Blue summer的博客
07-29 1621
LetsEncrypt是一个非盈利的自动证书颁发机构(CA),我们可以免费的从LetsEncrypt获取自己网站域名的证书,只需要在我们的web主机上运行使用ACME协议的软件来获取LetsEncrypt证书
certbot—30秒部署你的HTTPS,永久免费,自动续约
Akanarika520的博客
12-01 2032
Certbot 简化了证书的获取和管理过程,使您能够快速轻松地为您的网站启用 HTTPS,提供更安全的访问方式。自动化:Certbot 可以自动化证书签发和更新的过程,减少了手动操作的工作量和错误的风险。Certbot的官网如下:https://certbot.eff.org/ 当你进入官网选择了对应的web环境和操作系统。此时,我们通过HTTPS来访问我们绑定的域名即可。运行此命令获取证书,并让Certbot自动编辑您的nginx配置以提供证书,在一个步骤中打开HTTPS访问。
使用acme.sh配置SSL证书并自动续签
最新发布
Leslie_Dz的博客
02-18 1301
参考官网acme.sh用于生成免费ssl证书,其完整实现了acme协议,并且由纯Shell脚本语言编写,没有过多的依赖项,安装和使用都非常方便。支持多个ssl签发平台,如本文使用Let’s Encrypt
最新版 Let’s Encrypt免费证书申请步骤,保姆级教程
了迹奇有没
12-05 6537
最近将域名迁到了google domain,就研究了一下Let’s Encrypt的域名证书配置。发现网上找到的教程在官方说明中已经废弃,所以自己写一个流程记录一下。
免费申请Let's Encrypt HTTPS 证书(登陆网站和脚本两种方法)
IChen.的博客
11-05 3325
方法一(要交互,成功率高) 申请过程 1.首先打开SSL For Free (https://www.sslforfree.com/)。 3.此时需要选择验证方式,分别为“自动FTP验证”(会要求输入FTP信息,担心安全的还是不要选择这一项)、“手动验证”(传文件到FTP指定位置,这里我们选择这一项)以及用DNS解析验证。 选择第二项“Manual Verification”。 4.点击新出...
申请Let‘s Encrypt免费SSL证书、自动化续签证书
赵昕彧
06-08 3360
使用certbot工具能够很方便的申请和续签let’s encript证书。这里配置的是每周一 10点执行一次,根据个人需求更改配置即可。站点目录:html文件保存位置,只需要到文件夹即可。联系人email地址:填写自己的邮箱即可。3、加入命令(续签并重载nginx配置),如果没有安装Nginx则需要先安装。1、根据需求,选择下面两句话之一。5、可以查看一下证书有效期。6、配置Nginx(参考)2、安装 certbot。站点域名:购买的域名。2、加入crontab。4、申请成功后,会在。
申请Let‘s Encrypt证书
janthinasnail的博客
12-14 1199
2、在服务器添加nginx配置,test.example.com.conf文件内容如下。9、浏览器访问https://test.example.com,并查看证书信息。入门指南 - Let's Encrypt - 免费SSL/TLS证书。在Certbot页面填写HTTP website的运行环境,如。然后按任意键(Press Enter to Continue)根据返回的结果,需要在项目所在的路径创建。7、nginx配置ssl证书。1、域名控制台添加域名,如。根据上面的步骤,依次安装。
申请Let‘s Encrypt永久免费SSL证书
热门推荐
栗少的博客
07-09 2万+
Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。 Let's Encrypt免费SSL证书的出现,也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止,Let's Encrypt获得IdenTrust交叉签名,这就是说可以应用且支持包括FireFox、Chrome在内的主流浏览
Let's Encrypt官网一键式免费申请ssl证书脚本
08-30
Let's Encrypt官网一键式免费申请ssl证书脚本, 使用方法是放到linux环境下, 给出执行权限rwx即可 chmod -R 700 certbot-auto , 之后./certbot-auto执行, 过程中会让你选择apache(1)还是nginx(2), 之后还会让你输入...
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
Let’s Encrypt免费SSL证书获取以及自动续签,配合Nginx实测有效
Let's Encrypt证书申请
03-27
Let's Encrypt 证书申请 SSL证书 SSL 详细说明如何申请Let's Encrypt证书
自动获取Let's Encrypt免费SSL证书
05-01
NULL 博文链接:https://happysoul.iteye.com/blog/2390306
Shell脚本方式获取 Let's Encrypt免费 SSL 证书
04-30
NULL 博文链接:https://happysoul.iteye.com/blog/2390688
如何在Eclipse中设置Java、JavaScript、HTML智能代码提示
极客开发者的博客
04-03 8656
Eclipse是Java开发者们最热门的集成开发工具之一,除了强大的基础功能之外,还有就是代码提示功能。现在给大家演示怎么设置代码提示吧!首先打开Eclipse菜单栏中设置菜单:Window→Preferences1. 设置Java代码提示:Java→Editor→Content Assist修改"Auto Activation triggers for java"的值为".abcdefghijk...
Nginx服务器server节点常用配置
极客开发者的博客
01-17 7652
Nginx服务器server节点常用配置 Nginx服务器的server节点通常用来定义一个服务,Nginx服务器可以配置多个server节点,一个server通常用来定义一个单独项目(网站),也可以用一个 server来定义Nginx全局项目(网站),接下来我们总结Nginx服务器server节点的常用配置参数。 1.基础知识 (1).常规配置 server { listen 80; server_name jkdev.cn www.jkdev.cn; root
使用Multipass快速创建和管理Ubuntu Server虚拟机
极客开发者的博客
05-21 2930
multipass是Ubuntu官方提供管理Ubuntu Server虚拟机的桌面工具,本文将介绍怎样使用multipass搭建Ubuntu Server虚拟机。multipass可以帮助我们快速创建和管理Ubuntu Server虚拟机。 一、安装 multipass的官方网站是https://multipass.run/, 我们可以下载Linux/Windows/Mac版本。选择对应的版本进行安装,需要注意的是,安装windows版本之前,需先安装VirtualBox。 二、使用 1. 查看命令帮助.
怎样在Alpine Linux中搭建Python3+Django运行环境
极客开发者的博客
02-24 1423
概述 Alpine Linux是一个十分轻量级的Linux发行版本,其Docker镜像大概只有5m。现在,我们将从Alpine中构建Python3+Django环境。 演示环境:Alpine 3.11 的Docker容器环境 接下来我们将从一个纯净的Alpine系统开始搭建Python3+Django运行环境。首先在本机的Linux桌面环境开启一个Linux容器,如下代码: docker ru...
token自动续期如何实现
05-24
在实现token自动续期时,通常会使用一些技术手段来保证token的有效期不会过期。以下是一些可能的实现方式: 1. 利用cookie技术,在客户端存储一个保存token的cookie,并设置cookie的过期时间。当用户每次访问网站时,服务器会检查cookie中的token是否过期,如果已过期则需要重新生成token并更新cookie。 2. 在客户端和服务器之间建立一个长连接,每隔一定时间发送一个心跳包。服务器在接收到心跳包后,会更新token的有效期。如果一段时间内没有收到心跳包,则认为token已经失效。 3. 使用refresh token机制,即在生成token的同时,还生成一个refresh token。当token过期时,客户端可以使用refresh token向服务器请求新的token。服务器会验证refresh token的有效性,并在通过验证后生成新的token并返回给客户端。 无论采用哪种方式,都需要注意安全问题,比如在传输过程中需要加密保护,避免被恶意攻击者截获或篡改。同时,也需要注意对token和refresh token的有效期进行合理的设置,避免出现过期或永久有效的情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极客开发者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值