Nginx 实现全站 HTTPS(基于 Let's Encrypt 的免费通配符证书)

最新推荐文章于 2024-07-29 15:14:43 发布
最新推荐文章于 2024-07-29 15:14:43 发布
阅读量700 收藏
点赞数
文章标签: 运维 java 操作系统
原文链接:http://blog.51cto.com/alca0126/2308774
版权

ACME 协议支持的验证协议一般有两种:

http 验证:必须有可以正常运行的服务器和公网 IP。验证时,需要在你的网站根目录下放一个文件来验证域名所有权,完成验证后就可以生成证书了。
dns 验证:不需要服务器和公网 IP。只需要为域名添加一条 txt 解析记录来验证域名所有权。

通过 acme.sh 获取通配符域名证书

acme.sh 的所有相关文件(包括安装文件、申请到的证书等)都在 ~/.acme.sh/ 这一个目录中。

安装 acme.sh
在线安装
curl https://get.acme.sh | sh
或者:
wget -O - https://get.acme.sh | sh

从 Git 安装
git clone https://github.com/Neilpang/acme.sh.git
cd ./acme.sh
./acme.sh --install

安装过程包含 3 个动作:

创建并复制 acme.sh 到你的家目录 $HOME:~/.acme.sh/。所有的证书都会放到这个目录中
创建别名: acme.sh=~/.acme.sh/acme.sh
创建每天的定时任务检查证书,如果快要到期了会自动更新
定时任务示例:

0 0 * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null

验证
安装完成后,需要重新打开终端,acme.sh 命令才能生效。
root@v1:~# acme.sh -h

生成证书

http 方式

acme.sh 会自动在网站根目录生成验证文件, 然后自动完成验证,最后自动删除验证文件。

需要指定域名和域名对应的网站根目录:

acme.sh --issue -d mydomain.com -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/
对于 nginx 服务器,acme.sh 还可以智能的从 nginx 配置中自动完成验证,不需要指定网站根目录:

acme.sh --issue -d mydomain.com --nginx
域名获取后,需要手动修改 Nginx 配置文件。

如果没有运行任何 web 服务,80 端口是空闲的,那么 acme.sh 可以运行为 webserver,临时监听 80 端口,完成验证:

acme.sh --issue -d mydomain.com --standalone
dns 方式

如果域名解析商提供 API,则可以自动借助这个 API 通过工具添加 txt 记录完成验证。

对于阿里云:

替换成从阿里云获取的 API 参数

export Ali_Key="666"
export Ali_Secret="888"

换成自己的域名

acme.sh --issue --dns dns_ali -d kikakika.com -d *.kikakika.com

对于腾讯云:

替换成从 DNSPod 获取的 API 参数

export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"

换成自己的域名

acme.sh --issue --dns dns_dp -d kikakika.com -d *.kikakika.com

对于其他平台,可以 参考这里
DNS 生效需要一段时间,acme.sh 设置的是等待两分钟。

acme.sh 会保存 API 参数并生成定时任务,用于每天验证证书是否即将过期,并及时更新。下面是通过 crontab -e 看到的新增的定时任务:

16 0 * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

安装证书

证书生成后,需要把证书 copy 到真正需要用它的地方。

默认生成的证书都放在安装目录 ~/.acme.sh/ 下,但是请不要直接使用。而是使用 --installcert 命令安装证书。

使用 --installcert 命令安装证书

使用 --installcert 命令安装证书时,证书文件会被复制到相应的位置:

acme.sh --installcert -d kikakika.com \
--key-file /etc/nginx/ssl/kikakika.key \
--fullchain-file /etc/nginx/ssl/fullchain.cer \
--reloadcmd "systemctl reload nginx.service"

配置 Nginx

Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer,而非 /etc/nginx/ssl/<domain>.cer,否则 SSL Labs 的测试会报 Chain issues Incomplete 错误。

我将所有流量统一导入 https://www.kikakika.com,示例如下:

server {
listen 443 ssl;
server_name www.kikakika.com;
index index.html;
root /home/kikakika/www;

ssl on;
ssl_certificate /etc/nginx/ssl/fullchain.cer;
ssl_certificate_key /etc/nginx/ssl/kikakika.key;
ssl_session_timeout 5m;

}

转载于:https://blog.51cto.com/alca0126/2308774

csid_502
关注
Let‘s Encrypt通配符HTTPS证书以及配置自动续约
Bertram的博客
05-23 921
Let's Encrypt通配证书HTTPS证书及配置自动续约
免费申请Let‘s Encrypt通配符https证书nginx
Bertram的博客
07-17 1532
前景 Let’s Encrypt 宣布 ACME v2 正式支持通配符证书,并将继续清除 Web 上采用 HTTPS 的障碍,让每个网站轻松获取管理证书。消息一出,马上就有热心用户分享出了 Let’s Encrypt 通配符 HTTPS 证书的申请方式,下面我们一起来学习下吧! 准备工作 安装Certbot 以 centos7 为例 Certbot 的官方网站 ,打开这个链接选择自己使用的 web server 和操作系统,EFF 官方会给出详细的使用方法。 1、获取certbot-auto //下载 #
Nginx 学习笔记(九)申请Let's Encrypt通配符HTTPS证书
Tinywan
03-15 346
  Let's Encrypt 宣布 ACME v2 正式支持通配符证书,并将继续清除 Web 上采用 HTTPS 的障碍,让每个网站轻松获取管理证书。消息一出,马上就有热心用户分享出了 Let's Encrypt 通配符 HTTPS 证书的申请方式,下面我们一起来学习下吧! 配置环境:   操作系统:Ubuntu 16.04.2 LTS   配置域名:tinywan.top 具体步骤 ...
申请 Let's Encrypt 通配符 HTTPS 证书
weixin_34130269的博客
06-06 323
一、背景知识 1.1、什么是通配符证书 通配符证书,又叫泛域名证书,一张通配符证书可以保护一个域名下同级子域名,使他们都变成 https 加密链接,不需要配置一个子域名再申请一个新证书了,而且不限制子域名数量,这也使得随时增加子域名的同时并不需要额外的付费,对于有多个子域名尤其是子域名数量很多的用户,性价比很高,大大的节约了大量的时间和金钱成本。 1.2、什么是 Let’s Encrypt 部署...
通配符 SSL 证书Nginx 配置:深入理解与最佳实践
最新发布
weixin_54104864的博客
07-29 464
在当今的网络环境中,确保网站的安全性至关重要。SSL 证书在这方面扮演着关键角色,而通配符 SSL 证书则为管理多个子域名提供了便利。本文将深入探讨通配符 SSL 证书的覆盖范围,并讨论如何在 Nginx 中正确配置它们。
ssl免费证书申请加 nginx配置
blankhang的博客
11-06 1100
let’s encrypt SSL using nginx on CentOS7sudo yum install epel-release sudo yum install certbot certbot certonly --webroot --webroot-path /usr/share/nginx/html -d www.blankhang.com --agree-tos --email b
Nginx申请和使用Let‘s Encrypt的SSL免费证书
J_Lee
01-18 1460
Nginx申请和使用Let's Encrypt的SSL免费证书
Nginx服务器配置Let’s Encrypt免费SSL证书
tehcon的专栏
03-27 392
软硬件环境 Debian 9 Nginx由apt-get安装 步骤 安装certbot 首先启用backports仓库。将deb http://deb.debian.org/debian stretch-backports main这行加入/etc/apt/sources.list文件中。然后执行 $ sudo apt-get update $ sudo apt-get install cer...
nginx 部署 Let‘s encrypt 免费ssl证书流程
qq_43533527的博客
12-10 2751
nginx 部署 Let's encrypt 免费ssl证书流程
快速配置Let's encrypt通配符证书
smiles13的博客
11-26 901
本文首发自个人博客:https://blog.smile13.com 1.简介 Let’s Encrypt已经支持申请免费通配符证书,只需要对域名申请https证书,该域名下所有的子域名都可以使用。有一点需要说明,Let’s Encrypt通配符证书只是针对二级域名,不针对主域名,例如blog.smile13.com和smile13.com则被认为是两个域名,申请证书的时候都需要申请。 ...
letsencrypt免费https证书申请与nginx部署
robinhunan的博客
11-25 348
免费自动更新https服务器●第一步 选择好使用的软件和系统,本文使用centos和nginx。输入上面的命令,按照提示信息输入 电子邮箱和域名。●第三步 安装python-cert-nginx。●第五步 打开nginx.conf 添加。●第二步 使用下面命令安装相关工具。●第七步 配置定时任务 定时更新证书。●第四步 使用命令,获得证书。使用certbot获取证书。●第六步 重启nginx
阿里云Ubuntu16.04配置Let's encrypt通配符证书
越过大西洋的博客
07-12 1542
阿里云Ubuntu16.04配置Let’s encrypt通配符证书 参考文章: 快速配置Let’s encrypt通配符证书 pip 10.0.0 BUG 解决方案 解决python2.7 - pip wheel failed with error code 2 问题 letencrypt 是目前免费颁发 ssl 证书的机构,通过 certbot 客户端可以快速申请 90 天免费证书...
nginx配置https ssl证书
Andy_Health的博客
09-29 1935
参考配置: https://help.aliyun.com/document_detail/98728.html?spm=5176.b657008.0.0.5cde56a7q1iD5x 1.下载证书 2. 在nginx/conf目录新建cert目录,把两个证书文件放进去 cd /usr/local/nginx/conf #进入Nginx默认安装目录。如果您修改过默认安装目录,请根据实际配置进行调整。 mkdir cert #创建证书目录,命名为cert。 3. 修改nginx配置文件nginx.co
nginx配置ssl支持https的详细步骤
weixin_45501219的博客
03-19 4548
在建站的时候我们通常要让网站通过https进行访问,不然使用http过程中,所有信息都是未加密的,并且用户访问的时候浏览器会屏蔽我们的网站。本文介绍如何通过nginx配置ssl以支持通过https协议访问网站。
http的ssl证书保姆级配置安装-多域名 免费ssl证书 解析 nginx配置
liang359975715的博客
04-27 7818
多个域名(mysite.com,*.mysite.com),ssl免费证书,添加解析记录,申请证书的shell脚本,nginx配置 http
liferay + cas + ldap 集成配置
寿司的骆驼
05-30 273
liferay + cas + ldap 集成配置   这个玩意上传图片太恼火了,有乱码,直接看附件吧。   另附InstallCert.java代码   /* * Copyright 2006 Sun Microsystems, Inc. All Rights Reserved. * * Redistribution and use in source and bina...
生成免费证书.acme 基于nginx
m0_52454621的博客
04-08 5814
https://github.com/acmesh-official/acme.sh官方文档设计 多种 一、安装acme,可能一次安装不成功,要多安装几次 1、curl https://get.acme.sh | sh -s email=my@example.com 二、生成证书 用于nginx 你用的nginx服务器, 或者反代,acme.sh还可以智能的从nginx的配置中自动完成验证 acme.sh --issue -d mydomain.com -.........
Let's Encrypt通配符证书申请与运维解析
"基于Let’s Encrypt通配符证书运维 - 来华栋" Let’s Encrypt是一个免费且自动化的证书颁发机构(CAA),由互联网安全研究集团(ISRG)创立,旨在促进网络上的安全通信,特别是推动从不安全的HTTP向更安全的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值