Certbot之仅申请证书、在内网中申请证书、DNS01

最新推荐文章于 2024-09-12 14:36:16 发布
最新推荐文章于 2024-09-12 14:36:16 发布
阅读量2.3k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013670453/article/details/117340745
版权

原文地址:Certbot之仅申请证书、在内网中申请证书、DNS01(永久地址,保存网址不迷路 🙃)

问题描述

在申请证书时,我们按照 Certbot 官方指引,需要公网服务器,并且 HTTP 站点在线(这主要是为了完成 HTTP 质询,以证明域名所有权)。当证书签发结束后,Certbot 程序将修改 Nginx 配置文件以使用新的证书。整个过程一步到位,开箱即用,非常方便。

但是存在特殊场景:我们站点在内网,未对外公开,这样便无法完成 HTTP 质询,就无法进行签发证书;我们的 Web server 未受到 Certbot 的支持,因此无法自动修改配置文件,需要我们仅申请证书,然后自行修改配置文件。总之,这些特殊场景的存在,需要我们仅申请证书,而不能使用 Certbot 的自动化配置。

该笔记将记录:在 Certbot 中,仅申请证书的方法,以及相关问题的处理、解决方案。

解决办法

除了 HTTP 质询,我们还能使用 DNS 质询方法:
1)在申请证书时,根据要求添加 DNS 记录;
2)然后 Let's Encrypt(ACME Server)检查该记录,以验证域名的所有权;
3)在检查通过后,进行证书签发,并自动保存在服务器中;
4)最后,我们修改 Web server 配置,以使用该证书文件;

第一步、开始申请证书

执行如下命令开始申请证书,按照提示操作即可:

certbot certonly --manual --preferred-challenges dns -d example.com

第二步、添加解析记录

当命令执行中,会收到类似如下提示,要求添加 TXT 解析记录:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

667drNmQL3vX6bu8YZlgy0wKNBlCny8yrjF1lSaUndc

Once this is deployed,
Press ENTER to continue

根据上面提示,登录云商后台(比如阿里云、腾讯云等等),添加名为 _acme-challenge.example.comTXT 记录,并使用 667drNmQL3vX6bu8YZlgy0wKNBlCny8yrjF1lSaUndc 作为记录值。

注意事项:
1)由于 DNS 记录不会马上生效,所以稍后再按回车键。
2)使用 dig +short -t txt _acme-challenge.example.com 命令验证 DNS 是否生效。

第三步、按下回车键

在确认 DNS 记录生效之后,按下回车键将会收到证书申请成功的提示(类似如下内容):

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2020-03-11. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

第四步、使用证书

正如开始所述,该方法只能申请证书,我们还需要手动修改 Web server 配置文件,以使用证书。这里不再展开。

证书文件路径:输出日志包含证书路径,这里是 /etc/letsencrypt/live/example.com/ 目录

关于证书自动续期

证书有效期为 90 天,需要在定时任务中使用 certbot renew 命令重新续期证书,但是需要附加操作,参考 +manual plugin is not working 笔记。

改进:完成 DNS 质询的简便方法

每次进行 DNS 质询,我们都需要绑定 TXT 记录。当质询完成后,我们还应该清理这些 TXT 记录。

这事件繁琐的事情,但是已存在解决方案:命令 certbot 提供 Auth Hook 选项,以传入自定义脚本。在执行质询前,会调用这些自定义脚本。既然如此,我们便可在脚本中调用云商的 API 来添加 TXT 记录。同时支持 Cleanup Hook 选项,也是传入自定义脚本,以在质询完成后调用(清理工作)。

这些调用云商的脚本已经有人实现(比如 certbot-letencrypt-wildcardcertificates-alydns-auacmesh-official/acme.sh 等等),我们借用即可(内心表示感谢,也暗自窃喜,行动上 Star Watch 走一波)。我们选用 certbot-letencrypt-wildcardcertificates-alydns-au 提供的脚本,完全是因为公司已经在使用,而我们又无必付出额外的精力去学习新的工具(无需求,则无必要)。

证书申请

1)安装 certbot 命令,参考 Certbot Installation 笔记;
2)配置并使用脚本:

git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au /srv/certbot-script/
cd /srv/certbot-script/
chmod u+x ./au.sh

# 我们使用腾讯云 DNS 服务,需要填写相应的 Secret 信息(参考 ./au.sh 说明)
vim ./au.sh
# TXY_KEY="AKIDC......."
# TXY_TOKEN="3pLabL...."

# 运行命令进行测试(--dry-run)
certbot certonly  -d '*.k4nz.com' -d 'k4nz.com' \
    --manual --preferred-challenges dns \
    --dry-run  \
    --manual-auth-hook "/srv/certbot-script/au.sh python txy add" \
    --manual-cleanup-hook "/srv/certbot-script/au.sh python txy clean"
    
# 当测试成功后,去掉 --dry-run 选项来申请证书
certbot certonly  -d '*.k4nz.com' -d 'k4nz.com' \
    --manual --preferred-challenges dns \
    --manual-auth-hook "/srv/certbot-script/au.sh python txy add" \
    --manual-cleanup-hook "/srv/certbot-script/au.sh python txy clean"
    
// 证书 /etc/letsencrypt/live/k4nz.com/ 目录,接下来便可配置 Nginx 或者其他 Web server 来使用我们新申请的证书。

// 选项 -d 指定我们需要申请证书的域名,它们将合并在同一张证书中

证书手动续期

续期全部证书:

certbot renew \
    --manual --preferred-challenges dns \
    --manual-auth-hook "/srv/certbot-script/au.sh python txy add" \
    --manual-cleanup-hook "/srv/certbot-script/au.sh python txy clean"

续期单张证书:

certbot-auto certificates

certbot renew \
    --cert-name "Your Certificate Name" \
    --manual --preferred-challenges dns \
    --manual-auth-hook "/srv/certbot-script/au.sh python txy add" \
    --manual-cleanup-hook "/srv/certbot-script/au.sh python txy clean"

证书自动续期

用于证书需其的定时任务:

cat >> /srv/certbot-script/crontab.sh <<EOF
# 我们沿袭 Certbot 官方的写法
/srv/certbot/bin/python -c 'import random; import time; time.sleep(random.random() * 3600)' \
certbot renew \
    --manual --preferred-challenges dns \
    --manual-auth-hook '/srv/certbot-script/au.sh python txy add' \
    --manual-cleanup-hook '/srv/certbot-script/au.sh python txy clean' \
    --post-hook 'systemctl reload nginx'
EOF

chmod u+x /srv/certbot-script/crontab.sh

echo "0 0,12 * * * root /srv/certbot-script/crontab.sh" >> /etc/crontab

附加说明

在腾讯云中,如果 HTTP 站点的域名没有备案,则在使用 HTTP 质询时会失败(因为未备案的 HTTP 站点会被重定向)。此时(1)可以使用 DNS 质询,只申请证书,(2)然后在使用 --nignx 或者其他选项,对于已经存在的证书,他会提示你安装证书。

注意事项:如果想删除 apt-get 安装的 certbot 命令,使用 apt-get purge certbot 将清除在 /etc/letsencrypt/ 创建的证书。

参考文献

Linux command to inspect TXT records of a domain
Let's Encrypt Server Certificate via DNS Challenge
How to use Let's Encrypt DNS challenge validation?
ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au

研究林纳斯的那个系统
关注
kubernetescert-manager使用DNS-01方式生成https证书(腾讯云)
null
04-12 2902
说明 国内的DNS-01方式生成证书需要使用cert-manager的插件,因为cert-manager不支持国内的DNS厂商 本文使用的域名在腾讯云:dnspod dns-01方式支持泛域名解析https证书 查看支持的DNS厂商:https://cert-manager.io/docs/configuration/acme/dns01/ 由于 cert-manager-webhook-dnspod 很久没有继续维护,chart 包已不兼容最新的 cert-manager 。本文内容使用的 cert-
Certbot」- 在内网申请证书的方法 @20210225
k4nz
02-25 1536
问题描述 在申请证书时,按照 Certbot 官方指引,需要公网服务器并且需要 HTTP 站点在线。这主要是为了完成质询,以证明域名所有权。 可是有时我们并没有公网服务器,更没有对外站点,我们希望在内网测试环境能够使用 HTTPS 证书,那我们应该如何申请证书呢? 解决办法 可以使用 DNS 质询方法…………在申请证书时,选择DNS质询,申请过程会提示你添加域名解析。 第一步、开始申请证书 执行如下命令开始申请证书,按照提示操作即可: certbot certonly --manua.
Certbot 生成 SSL 证书并配置自动续期
最新发布
weixin_50848244的博客
09-12 837
之前都是用阿里或者腾讯的免费证书,但是现在域名有点多,还不支持通配符所以根本就不够用,用这个先顶着,老板也是贼抠门,有问题直接沟通
certbot-dns-hetzner:Certbot插件在Hetzner DNS API上启用dns-01挑战
04-15
Hetzner DNS Authenticator certbot插件 此certbot插件通过使用Hetzner DNS API创建并随后删除TXT记录来自动完成dns-01挑战的过程。 安装 通过pip在安装certbot的同一python环境安装此软件包。 pip install certbot-dns-hetzner 用法 要开始对Hetzner DNS API使用DNS身份验证,请在certbot的命令行上传递以下参数: 选项 描述 --authenticator dns-hetzner 选择身份验证器插件(必填) --dns-hetzner-credentials Hetzner DNS API凭证INI文件。 (必需的) --dns-hetzner-propagation-seconds 等待TXT记录传播的秒数 证书 在的hetzner DNS控制面板
使用Certbot 生成 https 证书
Jack huang的专栏
02-12 5393
1.下载certbot项目 # git clone https://github.com/certbot/certbot.git # cd certbot/ # chmod a+x ./certbot-auto   2.生成一个或多个单域名证书,事先要确保80、443端口可以通,并且没有被占用,最后域名有解析并且解析到当前服务器 # ./certbot-auto certonly --...
透過Certbot為Apache網站更新憑證 - HTTP-01 考驗
keineahnung2345的博客
10-13 5973
之前寫過一篇透過Certbot為Apache網站申請憑證,本篇記錄更新憑證時所踩過的坑及解決方式。
kubernetescert-manager使用DNS-01方式生成https证书(阿里云)
null
04-26 4201
说明 使用官方阿里云dns插件:https://github.com/pragkent/alidns-webhook 也可以使用其他开发者使用的:https://gitee.com/StephenEvenson/cert-manager-alidns-webhook?_from=gitee_search dns-01方式支持泛域名解析https证书 查看cert-manager支持的DNS厂商:https://cert-manager.io/docs/configuration/acme/dns01/
certbot申请SSL证书证书问题
weixin_34335458的博客
07-20 596
首先是到https://certbot.eff.org/上申请证书,由于我们使用的web服务器是基于erlang的cowboy的,在主页上没有选项可以支持,因此在Software下拉项选择"None of the Above",操作系统用的是ubuntu16.04,因此在System下拉项选择"Ubuntu 16.04(Xenial)"。 按照其操作安装certbot结束后输...
certbot免费申请SSL证书,免费搭建https
08-13
1. 安装 2. cmd命令 输入 certbot --version ... certbot certonly -d "*.mike888.top" -d mike888.top --manual --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory 4. 使用证书
NamesiloCert:使用Namesilo的API自动执行Certbot(Letsencrypt)DNS证书挑战
05-18
**NamesiloCert: 使用Namesilo API自动化Certbot DNS证书挑战** 在网络安全领域,SSL/TLS证书是确保网站数据传输安全的重要工具。Let's Encrypt提供了一种免费、自动化且开放的证书颁发机构,允许用户轻松获取并...
certbot申请通配符域名证书
weixin_45052750的博客
09-22 877
certbot官网 下载certbot # 下载certbot-auto wget -c https://dl.eff.org/certbot-auto -P /usr/local/bin # 设置可执行权限 chmod +x /usr/local/bin/certbot-auto # 查看版本,第一次运行certbot-auto会安装依赖 certbot-auto --version 申请证书 certbot-auto certonly -d *.example.com --manual --pr.
certbot-dns-aliyun:certbot dns插件,可使用阿里云获取证书
05-04
适用于Certbot的Aliyun DNS Authenticator插件 certbot dns插件,用于使用阿里云获取证书。 获取阿里云RAM AccessKey 并确保您的RAM帐户具有AliyunDNSFullAccess权限。 安装 pip install certbot-dns-aliyun 对于快照: sudo snap install certbot-dns-aliyun sudo snap set certbot trust-plugin-with-root=ok sudo snap connect certbot:plugin certbot-dns-aliyun /snap/bin/certbot plugins 或手动: git clone https://github.com/tengattack/certbot-dns-aliyun cd certbo
certbot-external-auth:Certbot外部DNS,HTTP,TLSSNI域验证插件,带有JSON输出和可编写脚本的钩子,具有脱水兼容性
02-03
Certbot的外部身份验证器 自动化-letencrypt的主要目标是使证书管理更加轻松。 在大多数情况下,它都像这样工作,但每个用户都必须处理自己的网络配置(NAT,防火墙,DNS,代理等)。 我们用于验证域控制的机制越多,lettencrypt的使用就越容易。 letencrypt带来的最大麻烦是域控制的验证,因为它要求您的服务器与letencrypt服务器对话并响应所提供的挑战(更改DNS记录或将文件添加到某些位置)。 此过程是必要的,因为它可以防止随机的人获得您自己域的证书。 此插件有助于域验证过程。 它提供三种模式: JSON模式-其输出为JSON格式,可以由certbot
letsencrypt-证书DNS自动验证,certbot-auto-自动-更新,自动阿里云-dns-certbot-auth
09-03
letsencrypt_证书DNS自动验证,certbot-auto_自动_更新,自动阿里云_dns_certbot-auth-alidns.zip letsencrypt_证书DNS自动验证,certbot-auto_自动_更新,自动阿里云_dns_certbot-auth-alidns.zip letsencrypt_证书...
certbot-dns-cloudflare:Docker镜像可使用DNS挑战自动从Let's Encrypt检索通配符证书
04-10
一个Docker映像,可使用DNS挑战自动从Let's Encrypt检索通配符证书。 入门 复制的内容,将image替换为的最新版本( docker.pkg.github.com/runarsf/certbot-dns-cloudflare/certbot-dns-cloudflare:1.0.0 ),然后...
使用 let's encrypt certbot部署https网站
Anteoy的博客
01-14 1693
前言 let’s encrypt 是免费的ssl/tls 证书颁发的机构,致力于实现整个Web的TLS/SSL认证。https可降低网站被劫持的风险,并具有更好的加密性能,避免用户信息泄露,增强网站的安全性。 准备 已解析正确的域名 www.anteoy.site A记录所指向的服务器 nginx 环境 GCE ubuntu16.04 let’s encrypt认证
使用docker+nginx+certbot获取和更新免费的ssl证书
wyhhQAQ的博客
12-05 1648
docker+nginx+certbot获取和更新免费的ssl证书
使用Certbot申请Lets Encrypt证书
ronshi的博客
01-29 1355
使用Certbot申请Lets Encrypt证书
Certbot申请证书及问题解决
m0_65591847的博客
02-14 2774
本文总结服务器使用certbot申请https证书的详细全过程,并对申请过程的各种问题进行总结。一文完成申请https
Startssl SSL证书申请全攻略
3. 申请SSL证书时,需要提供网站的域名所有权证明,通常通过DNS验证或文件验证两种方式。 4. 选择所需的证书类型,如域名验证(DV)证书,组织验证(OV)证书或扩展验证(EV)证书,不同类型的证书提供的验证级别和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值