Let‘s Encrypt 使用

已于 2022-07-30 16:00:04 修改
阅读量1.6k 收藏
点赞数
分类专栏: 证书 文章标签: Lets Encrypt https-01 dns-01
于 2022-07-29 23:05:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010039418/article/details/126045491
版权

1 关于Let’s Encrypt

Let’s Encrypt是一个非盈利的自动证书颁发机构(CA),我们可以免费的从Let’s Encrypt获取自己网站域名的证书,只需要在我们的web主机上运行使用ACME协议的软件来获取Let’s Encrypt证书。

2 工作原理

证书颁发主要分为两步,第一步就是域名认证,证明客户端对这个域名有控制权,不然谁都可以更改你的证书,那就乱套了。然后客户端就可以进行申请、续期以及吊销证书。

其中域名认证有两种方式:

  • 在你的域名下的已知URI下放置一个HTTP资源
  • 在你的域名下配置DNS记录

3 域名认证方式

3.1 HTTP-01 验证

Let’s Encrypt向ACME客户端提供一个令牌,ACME客户端需要在指定路径http://<your_domain>/.well-known/acme-challenge/<TOKEN>上放置指定文件。该文件包含令牌以及帐户密钥的指纹,文件准备就绪后Let’s Encrypt会尝试获取它,获取成功则验证被视为成功,就可以继续申请颁发证书。

HTTP-01验证最多接受10次重定向,只接受目标为“http:”或“https:”且端口为 80 或 443 的重定向。不接受目标为IP地址的重定向。 当被重定向到 HTTPS 链接时,不会验证证书是否有效(因为验证的目的是申请有效证书,所以它可能会遇到自签名或过期的证书)。

优点:

容易自动化,不需要关于域名配置的额外知识
支持为CNAME的域名颁发证书
适用于现成的Web服务器

缺点:

该验证方式依赖80端口
此验证方式不支持颁发通配符证书
域名下有多个Web服务器时,必须确保该文件在所有服务器上都存在

3.2 DNS-01 验证

此验证方式要求客户端在该域名下的 TXT 记录中设定特定值来证明你对该域名DNS系统的控制。Let’s Encrypt为ACME客户端提供令牌后,客户端根据令牌和帐户密钥创建TXT记录,并将该记录应用在 _acme-challenge.<YOUR_DOMAIN> 。 然后Let’s Encrypt就会向DNS系统查询该记录,如果查询到匹配项,则表示验证成功。

此时只有在DNS提供商有自动更新的API时,这种DNS-01验证方式才有意义,比如使用云厂商的DNS服务,route53。

因为要将DNS API凭据放在Web服务器上,因此会增加该服务器被黑客攻击的风险。最好是使用权限范围受限的API凭据,或在单独的服务器上执行DNS验证并自动将证书复制到Web服务器上。

优点:

此验证方式支持颁发通配符证书
有多个Web服务器时不需要其他额外配

缺点:

在Web服务器上保留API凭据存在一定风险
要求DNS提供商能自动更新DNS记录
DNS提供商可能无法保证DNS记录更新时间

4 注意事项

4.1 证书有效期

通过Let’s Encrypt申请的证书有效期是90天,因此最好是通过自动化方式对证书续期。

4.2 速率限制

证书的申请有速率限制,可以先在测试环境测试后再切到生产环境,

  • 测试环境:https://acme-staging-v02.api.letsencrypt.org/directory

    每个注册域名允许颁发的证书数量限制为每周 30000 张。
重复证书限制为每周 30000 张。
每账号、每主机名、每小时允许 60 次验证失败。
每个 IP 地址注册账户数量限制为每个 IP 每 3 小时允许注册 50 个账户。
对于 ACME v2,新订单限制为每个帐户每 3 小时 1500 个。

  • 生产环境:https://acme-v02.api.letsencrypt.org/directory

    每个注册域名允许颁发的证书数量限制为每周 50 张。
重复证书限制为每周 5 张。
每账号、每主机名、每小时允许 5 次验证失败。
每个 IP 地址注册账户数量限制为每个 IP 每 3 小时允许注册 10 个账户。
对于 ACME v2,新订单限制为每个帐户每 3 小时 300 个。

参考文档:

  1. https://letsencrypt.org/how-it-works/
  2. https://letsencrypt.org/docs/challenge-types/
  3. https://letsencrypt.org/docs/rate-limits/
Blue summer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows Let's Encrypt工具
08-21
Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,靠谱!   3、Let's Encrypt安装部署简单、方便,目前Cpanel、Oneinstack等面板都已经集成了Let's Encrypt一键申请安装,简单! 4、Let's Encrypt证书有效期三个月,每三个月需要续签证书 see why 这个工具是Let's Encrypt证书在windows平台使用的。
Let's Encrypt官网一键式免费申请ssl证书脚本
08-30
Let's Encrypt官网一键式免费申请ssl证书脚本, 使用方法是放到linux环境下, 给出执行权限rwx即可 chmod -R 700 certbot-auto , 之后./certbot-auto执行, 过程中会让你选择apache(1)还是nginx(2), 之后还会让你输入域名, 可以在测试服务器上运行试试, 这是截止到20190830最新版本 好像不能免币下载,
轻松配置 httpsLet‘s Encrypt 介绍及 Nginx Proxy Manager 实用操作教程
最新发布
qq_52141337的博客
03-07 1276
一般我们在本地进行 web 开发时用的都是 http 协议,而部署到服务器上之后为了安全都要配置 https,以保证客户端和服务器之间的通信内容得到加密,不会被泄露或篡改。本文将介绍 https 协议的基本知识(如果有基础可以跳过),以及如何使用 Let’s Encrypt 给你的服务优雅地配置 https
HttpsLet's Encrypt
01-02
Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。 Let's Encrypt免费SSL证书的出现,也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止,Let's Encrypt获得IdenTrust交叉签名,这就是说可以应用且支持包括FireFox、Chrome在内的主流浏览器的兼容和支持,虽然目前是公测阶段,但是也有不少的用户在自有网站项目中正式使用起来。
Let's Encrypt证书申请
03-27
Let's Encrypt 证书申请 SSL证书 SSL 详细说明如何申请Let's Encrypt证书
基于let's encrypt的通配符证书.pptx
07-29
介绍了使用letsencrypt 申请多种 https 免费证书的不同方法,其中用 dns 的方式申请通配符的证书比较省事,在有公网映射,内外网80和443端口映射不一致的环境下推荐使用
Let‘s Encrypt
凉茶铺的博客
07-24 5030
Let'sEncrypt——是一个由非营利性组织互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA),简单的说,就是为网站提供免费的SSL/TLS证书。互联网安全研究小组(ISRG)ISRG是美国加利福尼亚州的一家公益公司,成立于2013年5月,第一个项目是Let'sEncrypt证书颁发机构。Let’sEncrypt使用ACME协议来验证您对给定域名的控制权并向您颁发证书。使用前提域名,它会生成指定域名的证书在域名指向的服务器上能访问https。...
申请Let‘s Encrypt永久免费SSL证书
热门推荐
栗少的博客
07-09 2万+
Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。 Let's Encrypt免费SSL证书的出现,也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止,Let's Encrypt获得IdenTrust交叉签名,这就是说可以应用且支持包括FireFox、Chrome在内的主流浏览
Let‘s Encrypt免费安全证书的步骤及使用-基于centos9, 包括工具certbot安装及使用,获取apache、nginx、iis等服务器安全证书
zrc_xiaoguo的博客
12-07 4010
Certbot 是一个由 Electronic Frontier Foundation(EFF)支持的免费、开源的工具,用于自动化获取、部署和更新 HTTPS 证书。它是为了方便使用 Let's Encrypt 服务而开发的,允许用户在 Web 服务器上快速设置 SSL/TLS 加密连接。
Let’s Encrypt SSL 证书的申请与使用
01-26 3958
Let’s Encrypt 是免费、开放和自动化的证书颁发机构。SSL应用开发者可以免费从 Let’s Encrypt 申请到有效期90天的SSL证书,当然在到期之前也可以更新证书,延长有效期。Let’s Encrypt 支持 ACME 协议,可以自动化的完成SSL证书的申请、更新、吊销等操作。
免费的SSL证书(Let‘s Encrypt / acme)
weixin_45602663的博客
08-31 2962
是一个由非营利性组织(ISRG)提供的免费、自动化和开放的证书颁发机构(CA)。简单的说,借助 Let’s Encrypt 颁发的证书可以为我们的网站免费启用 HTTPS(SSL/TLS)。Let’s Encrypt免费证书的签发/续签都是脚本自动化的,官方提供了几种证书的申请方式方法,快速浏览。官方推荐使用客户端来签发证书,这种方式可参考文档自行尝试,不做评价。我这里直接使用第三方客户端。......
CentOS + Nginx 环境自动申请和部署Let‘s Encrypt免费SSL证书教程
字节叔叔
06-05 2619
本文介绍如何在 CentOS + Nginx 环境下,自动申请和部署Let’s Encrypt免费SSL证书。
let‘s encrypt免费https证书(certbot)
qq_39168874的博客
09-23 3760
let's encrypt免费https证书(certbot)准备工作访问let's encrypt官网具体配置步骤第一步,以具有 sudo 权限的用户身份通过​​ SSH 连接到运行您的 HTTP 网站的服务器第二步,安装 snapd第三步,确保您的 snapd 版本是最新的第四步,删除 certbot-auto 和任何 Certbot OS 包第五步,安装证书第六步,设置Certbot软链接第七步,生成证书第八步,测试自动续期第九步,配置nginx 准备工作 centos服务器 nginx部署站点
Let’s Encrypt免费证书获取方法
weixin_43674090的博客
02-15 4230
Let’s Encrypt 免费证书获取方式
【为域名申请免费的SSL证书,实现启用HTTPS加密】
CS@zeny的博客
05-06 2107
使用免费的SSL证书,开启https安全连接
httpsLet‘s Encrypt && acme
dualvencsdn的博客
06-23 1558
目录Let's Encrypt介绍什么是Let's EncryptCA介绍证书解决的信任问题是什么数字签名数字证书证书怎么解决信任问题HTTPS,SSL,证书关系如何制作证书使用Let's证书 + Nginx搭建HTTPS服务器 利用 acme.sh 申请 Let's Encrypt 泛解析SSL证书Let's Encryptacme.sh安装 acme.sh获取API Token申请泛解析域名SSL证书查看证书关于证书续期【现状】Let’s Encrypt 是一家免费、开放、自动化的证书颁发机构(CA),
【SSL、HTTPSLet‘s Encrypt 使用教程,免费的 SSL 证书,让你的网站拥抱 HTTPS
不纯正的逼格的专栏
12-21 318
Let’s Encrypt 已经得了 IdenTrust 的交叉签名,这意味着其证书现在已经可以被 Mozilla、Google、Microsoft 和 Apple 等主流的浏览器所信任,你只需要在 Web 服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let’s Encrypt 安装简单,使用非常方便。在我们使用 HTTP 的时候,打开网页总会遇到第三方偷偷加的一些脚本广告,很是烦人,升级 HTTPS 后他们就无从下手了,欧耶。–post-hook 执行更新操作完成后要做的事情。
Let's encrypt免费证书申请流程-(简要全能版本,包含windows下操作)
HDHunter的专栏
09-12 1万+
背景介绍(只看步骤的可以跳过):         let's encrypt是个积善的大公司,随着https普及,chrome只认httpslet's encrypt给了大众百姓免费搭乘https通信的方式。更加重要的是,现在很多的浏览器和操作系统已经认可let's encrypt的根证书,意思就是说,我们可以像正常付费证书一样使用let's encrypt的证书了。网站证书的分类自行搜索。...
SSL证书教程-Letsencrypt
虎神大帝的博客
05-23 3037
Letsencrypt简单教程调整 《Letsencrypt简单教程》一文较为详细地介绍了Letsencrypt的安装以及使用方法,然而,最近在一台服务器部署letsencrypt时,执行letsencrypt-auto命令出现错误: ./letsencrypt-auto --help all Skipping bootstrap because certbot-auto is deprecated on this system. Your system is not supported by cert
let's encrypt如何获取证书
06-10
Let's Encrypt 是一个免费的证书颁发机构,它可以为您的网站提供免费的 SSL/TLS 证书。以下是获取 Let's Encrypt 证书的步骤: 1. 安装 Certbot:Certbot 是一个自动化证书颁发和安装工具,可以帮助您轻松地获取 Let's Encrypt 证书。您可以从 Certbot 官网上找到适合您操作系统的安装指南。 2. 运行 Certbot:在安装 Certbot 后,您需要运行 Certbot 命令并提供您的网站域名以获取证书。例如,如果您的网站域名是 example.com,您可以运行以下命令: ``` sudo certbot certonly --webroot -w /var/www/html -d example.com ``` 这将使用 webroot 插件从 Let's Encrypt 获取证书,并将证书保存到 /etc/letsencrypt/live/example.com 目录中。 3. 配置 Web 服务器:完成证书获取后,您需要将证书配置到您的 Web 服务器中。具体的配置方式因 Web 服务器而异。例如,如果您使用的是 Apache,您可以编辑 Apache 的配置文件并添加以下代码: ``` SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem ``` 这将告诉 Apache 使用您刚刚获取的证书进行 SSL/TLS 加密。 完成上述步骤后,您的网站就可以使用 Let's Encrypt 的免费 SSL/TLS 证书进行加密了。请注意,Let's Encrypt 证书的有效期为90天,您需要定期更新证书以确保您的网站持续受到保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值