LetsEncrypt与Certbot之certbot命令介绍

最新推荐文章于 2024-04-26 19:47:49 发布
最新推荐文章于 2024-04-26 19:47:49 发布
阅读量3.4k 收藏
点赞数
分类专栏: 服务器 Linux 文章标签: linux centos apache
原文链接:https://www.jianshu.com/p/6ce6ea52ab5e
版权

为了在网站上启用https,我们需要从CA(Certificate Authority)申请一个证书,Let’s Encrypt是一个CA 。为了从Let’s Encrypt获取我们网站域名的证书,我们必须证明对域名的控制权。使用Let’s Encrypt,我们可以使用使用ACME协议的软件来执行此操作,该协议通常在我们的Web主机上运行。

如果有用shell访问web主机的权限,推荐使用Certbot ACME客户端,它可以自动执行证书颁发和安装,无需停机。它还为不想要自动配置的人提供专家模式。它易于使用,适用于许多操作系统,并且具有出色的文档。
如果Certbot不满足你的需求, 还有其他的ACME客户端 供选择。

2 Certbot
Certbot 官网

2.1 安装Certbot
Get Certbot

2.1.1 使用certbot-auto方式安装
推荐使用certbot-auto,使用它会自动创建python venv虚拟环境,并在其中安装certbot及其依赖

user@webserver:~$ wget https://dl.eff.org/certbot-auto
user@webserver:~$ chmod a+x ./certbot-auto
user@webserver:~$ ./certbot-auto --help
Usage: certbot-auto [OPTIONS]
A self-updating wrapper script for the Certbot ACME client. When run, updates
to both this script and certbot will be downloaded and installed. After
ensuring you have the latest versions installed, certbot will be invoked with
all arguments you have provided.

Help for certbot itself cannot be provided until it is installed.

–debug attempt experimental installation
-h, --help print this help
-n, --non-interactive, --noninteractive run without asking for user input
–no-bootstrap do not install OS dependencies
–no-self-upgrade do not download updates
–os-packages-only install OS dependencies and exit
–install-only install certbot, upgrade if needed, and exit
-v, --verbose provide more output
-q, --quiet provide only update/error output;
implies --non-interactive
可以创建 certbot-auto 软链接到 /usr/bin/ 或者 /usr/local/bin/ 下,这样就可以直接执行命令

根据提示安装certbot和依赖,需要使用root用户

user@webserver:~# ./certbot-auto --install-only
查看certbot帮助

user@webserver:~# ./certbot-auto -h

certbot-auto [SUBCOMMAND] [options] [-d DOMAIN] [-d DOMAIN] …

Certbot can obtain and install HTTPS/TLS/SSL certificates. By default,
it will attempt to use a webserver both for obtaining and installing the
certificate. The most common SUBCOMMANDS and flags are:

obtain, install, and renew certificates:
(default) run Obtain & install a certificate in your current webserver
certonly Obtain or renew a certificate, but do not install it
renew Renew all previously obtained certificates that are near
expiry
enhance Add security enhancements to your existing configuration
-d DOMAINS Comma-separated list of domains to obtain a certificate for

–apache Use the Apache plugin for authentication & installation
–standalone Run a standalone webserver for authentication
–nginx Use the Nginx plugin for authentication & installation
–webroot Place files in a server’s webroot folder for authentication
–manual Obtain certificates interactively, or using shell script
hooks

-n Run non-interactively
–test-cert Obtain a test certificate from a staging server
–dry-run Test “renew” or “certonly” without saving any certificates
to disk

manage certificates:
certificates Display information about certificates you have from Certbot
revoke Revoke a certificate (supply --cert-path or --cert-name)
delete Delete a certificate

manage your account with Let’s Encrypt:
register Create a Let’s Encrypt ACME account
–agree-tos Agree to the ACME server’s Subscriber Agreement
-m EMAIL Email address for important account notifications

More detailed help:

-h, --help [TOPIC] print this message, or detailed help on a topic;
the available TOPICS are:

all, automation, commands, paths, security, testing, or any of the
subcommands or plugins (certonly, renew, install, register, nginx,
apache, standalone, webroot, etc.)

运行certbot命令查看现有证书

user@webserver:~# ./certbot-auto certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log

No certs found.

文件certbot-auto中有venv的位置

if [ -z “$VENV_PATH” ]; then

We export these values so they are preserved properly if this script is

rerun with sudo/su where H O M E / HOME/ HOME/XDG_DATA_HOME may have a different value.

export OLD_VENV_PATH="$XDG_DATA_HOME/letsencrypt"
export VENV_PATH="/opt/eff.org/certbot/venv"
fi
我们可以尝试运行venv环境,检查安装的包

[root@journal certbot]# pwd
/opt/eff.org/certbot
[root@journal certbot]# ll
drwxr-xr-x 5 root root 4096 Dec 19 11:33 venv
[root@journal certbot]# source venv/bin/activate
(venv) [root@journal certbot]# pip list |grep certbot
certbot (0.29.1)
certbot-apache (0.29.1)
certbot-nginx (0.29.1)
(venv) [root@journal certbot]# deactivate
[root@journal certbot]#
2.1.2 使用Ansible批量安装
certbot-auto是官方给出的使用vitrualenv方式安装certbot的方法,此方法简单易用,但是由于对脚本逻辑不太了解,可能会对管理上带来困难。
我们自己用vitrualenv方式安装certbot,下面是Ansible批量安装的一个playbook:

install-certbot.yml

  • hosts: webpool-qa:webpool-live
    become: yes
    gather_facts: false
    tasks:
    • name: 1. Install certbot into virtualenv
      pip:
      name: certbot
      state: present
      virtualenv: /root/python-certbot
    • name: 2. Ensure logger(util-linux) have been installed
      yum:
      name: util-linux
      state: present
    • name: 3. Install cert_renew.sh script
      copy:
      src: ./scripts/cert_renew.sh
      dest: /root/cert_renew.sh
      mode: 0755
    • name: 4. Copy cert_posthook.sh if it not exists
      copy:
      src: ./scripts/cert_posthook.sh
      dest: /root/cert_posthook.sh
      mode: 0755
      force: no
    • name: 5. Create certbot job on root account
      cron:
      name: “certbot renew job”
      state: present
      minute: 45
      hour: 14
      job: “/root/cert_renew.sh 2>&1 | /usr/bin/logger -t certbot”
      cert_renew.sh

#!/bin/bash

source /root/python-certbot/bin/activate
certbot renew --post-hook “/root/cert_posthook.sh”
cert_posthook.sh

#!/bin/bash

#Restart local httpd
/sbin/service httpd restart
执行下列命令进行安装

ansible install-certbot.yml

2.1.3 其他方式安装
我们还可以使用git版本的Certbot Use git version certbot

2.2 申请证书
Certbot User Guide

申请证书脚本

[root@journal ~]# mkdir certbot
[root@journal ~]# mv certbot-auto certbot/
[root@journal ~]# cd certbot/
[root@journal ~]# vim cert_apply.sh
#!/bin/bash
./certbot-auto certonly --webroot
-w /data/web -d example.demo.com
自动renew脚本

[root@journal ~]# vim cert_renew.sh
#!/bin/bash
./certbot-auto renew --post-hook “service httpd restart”

certbot renew --pre-hook “service nginx stop” --post-hook “service nginx start”

有效期在30天以上的证书,可使用–force-renewal强制更新;
注意:证书更新过一次之后,会在/etc/letsencrypt/renewal目录下生成对应证书名称的配置文件,记录更新时使用的参数、配置等。

renew脚本定时任务

(需要logger命令),最好触发测试一下

[root@journal certbot]# crontab -l

renew letsencrpyt SSL certificate

36 15 * * 1-5 /root/certbot/cert_renew.sh 2>&1 | /usr/bin/logger -t certbot
2.3 为网站添加证书流程
查看原证书信息

./certbot-auto certificates

编辑申请证书脚本,添加新网站

vim cert_apply.sh

确认vhost配置文件内原证书位置

cd /etc/httpd/conf.d/

grep .pem . -R

grep .pem domain.demo.com.conf

如果提示会生成新的证书,而不是扩展原有证书,则删除原有证书 ,在重启apache之短时间内原证书仍然生效

./certbot-auto delete

生成新证书 ,确保证书位置与原来的一致

./cert_apply.sh

检查apache配置文件语法

apachectl -t

如果Syntax OK,重启apache服务

systemctl restart httpd

原文链接:https://www.jianshu.com/p/6ce6ea52ab5e

金shell
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
https安全解决方案证书certbot教程
wangyun381974024的博客
01-04 3155
https安全解决方案证书certbot教程
let‘s encrypt:基于阿里云的certbot生成免费HTTPS证书
m0_60125201的博客
04-15 1477
本博客利用let's encrypt申请更新了阿里云域名证书,使用的是let's encrypt推荐的certbot将域名从http更新到了https。
Let‘s Encrypt免费安全证书的步骤及使用-基于centos9, 包括工具certbot安装及使用
2201_75609177的博客
04-07 808
16、mysql的innodb如何定位锁问题,mysql如何减少主从复制延迟?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?3、现在给你三百台服务器,你怎么对他们进行管理?15、讲述一下LVS三种模式的工作过程?
Let‘s Encrypt免费安全证书的步骤及使用-基于centos9, 包括工具certbot安装及使用,获取apache、nginx、iis等服务器安全证书_let‘s encrypt
2401_82645688的博客
04-26 1123
在不同的系统上使用 Certbot 获取证书:使用 Certbot 在支持的系统上获取 Let’s Encrypt 证书(例如,使用 Linux 系统和支持的 Web 服务器)。将证书导出为 PFX 格式:将获取到的证书导出为 PFX 格式,这是 IIS 服务器所需的证书格式。将 PFX 证书导入到 IIS 服务器:手动将 PFX 格式的证书导入到 IIS 服务器中。
certbot安装免费Let‘s Encrypt 的https证书(ubuntu)
meto11的博客
10-10 429
certbot安装免费Let's Encrypt的https证书(ubuntu) sudo apt-get update sudo apt-get install certbot python-certbot-nginx 全自动 certbot --nginx --nginx-server-root=/etc/nginx -d=域名 参数: --nginx-server-root NGINX_SERVER_ROOT Nginx server root directory. (defau..
Certbot申请证书及问题解决
m0_65591847的博客
02-14 2559
本文总结服务器使用certbot申请https证书的详细全过程,并对申请过程中的各种问题进行总结。一文完成申请https
auto-letsencrypt:自动从certbot生成的现有SSL证书中添加或删除域
05-09
此插件要求运行PHP-FPM的用户可以运行函数exec并具有对以下命令的sudo访问权限: service nginx reload certbot nginx -t 要将这些命令添加到sudo中,您可以创建一个名为/etc/sudoers.d/auto-letsencrypt的文件,其...
ansible-role-letsencrypt:获取让我们加密SSL证书的角色
01-31
- **letsencrypt** 和 **certbot**:表明角色是与 Let's Encrypt 证书的申请和管理相关的,CertbotLet's Encrypt 提供的一个客户端工具,用于自动化证书获取过程。 - **dns-challenge**:这表示角色可能支持 ...
certbot:Certbot是EFF的工具,用于从Let's Encrypt获取证书,并(可选)在服务器上自动启用HTTPS。 它也可以充当使用ACME协议的任何其他CA的客户端
05-11
CertbotLet's Encrypt可以自动消除麻烦,并让您使用简单的命令打开和管理HTTPS。 免费使用CertbotLet's Encrypt,因此无需安排付款。 使用Certbot的方式取决于Web服务器的配置。 最好的入门方法是使用我们的。...
docker-haproxy-certbot:带有Let's Encrypt证书的Dockerized HAProxy自动续订
04-13
具有Let's Encrypt自动证书续订功能的Dockerized HAProxy 此容器为HAProxy实例提供启动时生成的“让我们加密”证书,并通过内部cron作业每周更新一次(如有必要)。... -v /srv/letsencrypt:/etc/letsencrypt
certbot-route53-mac:帮助在Mac上为AWS Route53创建加密证书
02-04
用户可以通过解压这个文件,然后根据提供的说明来安装和配置这个工具,以便在他们的Mac系统上使用Certbot与AWS Route53进行交互,自动申请和更新Let's Encrypt的证书。 使用certbot-route53-mac的步骤大致如下: 1...
使用 certbot 申请泛域名证书和自动续签
阿钱的博客
11-01 9396
下载certbot certbot官网 sudo apt-get update sudo apt-get install software-properties-common sudo add-apt-repository universe sudo add-apt-repository ppa:certbot/certbot sudo apt-get update sudo apt-get install certbot python-certbot-nginx 查看certbot版本 certbot
centos系统 利用certbot生成https证书 并配置到nginx
caideb的博客
12-05 2028
1.安装certbot yum install certbot 出现以下错误 Failed: python-urllib3.noarch 0:1.10.2-5.el7 pip安装python urllib3模块 pip install --upgrade --force-reinstall 'requests==2.6.0' urllib3 查看帮助 certbot ...
Nginx + CertBot 泛解析域名申请https证书以及利用脚本完成证书自动续期
weixin_43558927的博客
02-21 4040
升级 https 使用 Nginx + CertBot 泛解析域名证书的申请及(脚本)自动续期
使用letsencrypt-certbot生成免费证书
yine的专栏
05-07 2035
背景 证书可用在https,wss等需要tls加密认证的场景; 正式使用的环境一般都会使用收费的证书,但测试服或自己实验环境大部分都用自签名或免费的证书; webrtc相关的模块标准要求必须加密且不能是自签名证书; 先决条件 从背景上来看我们得想想办法来薅一薅羊毛了,但为了安全性也还是有一些准入门槛的,如下: 得下载一份 certbot-auto 脚本; 得有服务器的登录ssh权限; 第一次...
使用Certbot申请Let'sEncrypt免费证书
CSDN文章已停止维护,后续文章会在 https://blog.hufeifei.cn 持续更新
08-12 2558
半年前在自己的网站上配了个SSL证书,当时是用ZeroSSL进行证书申请的。但是证书三个月就会过期,每次都去手动申请,着实让人头痛。后来到Let’s Encrypt官网看了下,在它提供的ACME协议客户端列表中,最推荐使用CertbotCertbot是有个最大的好处是,能自动化部署Let’s Encrypt证书。 到Certbot官网,你可以根据自己的服务器操作系统以及使用的WebSe...
centos7 使用letsEncrypt certbot 生成免费的ssl证书 渐进学习
qq_48804275的博客
11-04 1847
centos7 使用letsEncrypt certbot 生成免费的ssl证书 新手也能学会,个人总结,欢迎交流
使用Let's-Encrypt配置SSL证书
风破
05-18 2056
1. 安装 Certbot Let’s Encrypt 证书生成不需要手动进行,官方推荐 certbot 这套自动化工具来实现。 Nginx on CentOS/RHEL 7 Certbot is packaged in EPEL (Extra Packages for Enterprise Linux). To use Certbot, you must first enable the...
使用Let's Encrypt实现全栈https
我的小博客
02-05 1434
前言 最近想把自己的小网站全面支持https协议,奈何囊肿羞涩,所以就搜寻免费证书。阿里和腾讯两家的免费证书貌似都只支持一个域名,最后发现开源的Let’s Encrypt免费而且可以支持多域名,并且2018年还会增加通配符配置,因此就选择使用Let’s Encrypt来让自己的小站全面拥抱https。 如何使用Let’s Encrypt 简单来说,使用Let’s Encrypt来http
certbot常用命令
最新发布
06-24
Certbot 是一个自动化工具,用于获取和管理 Let's Encrypt(LE)免费 SSL/TLS 证书。它与 Apache、Nginx 等 Web 服务器集成,简化了证书的... certbot revoke --cert /etc/letsencrypt/live/example.com/cert.pem ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值