004-零失败快速搞定通配符SSL证书

最新推荐文章于 2024-01-03 09:02:39 发布
最新推荐文章于 2024-01-03 09:02:39 发布
阅读量306 收藏
点赞数
文章标签: 运维 java 大数据
原文链接:https://juejin.im/post/5c6a380bf265da2db9125c23
版权

这是坚持技术写作计划(含翻译)的第四篇,定个小目标999,每周最少2篇。

过去几年中,我们一直主张站点采用 HTTPS,以提升其安全性。去年的时候,我们还通过将更大的 HTTP 页面标记为‘不安全’以帮助用户。 不过从 2018 年 7 月开始,随着 Chrome 68 的发布,浏览器会将所有 HTTP 网站标记为‘不安全’。 引用自 chrome 68 发布说明

得益于Google等大厂的消灭HTTP运动和Let's Encrypt 非盈利组织的努力,越来越多的站点开始迁移到HTTPS,下图是Let's Encrypt的统计数据

什么是Let's Encrypt

部署 HTTPS 网站的时候需要证书,证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 HTTPS 协议的使用。

Let's Encrypt是一个国外的非盈利的CA证书机构,旨在以自动化流程消除手动创建和安装证书的复杂流程,并推广使万维网服务器的加密连接无所不在,为安全网站提供免费的SSL/TLS证书。

由Linux基金会托管,许多国内外互联网大厂都对其进行赞助,目前主流浏览器均已信任Let's Encrypt发放的证书。

注意,Let's Encrypt颁发的都是DV证书,不提供OV,EV证书。

本文主要讲解 如何使用Let's Encrypt颁发通配符证书。

通配符证书

通配符SSL证书旨在保护主域名以及旗下不限数量的子域,即用户可通过单个通配符SSL证书可保护任意数量的子域。如果用户拥有多个子域名平台,可通过通配符SSL证书保护这些子域名。

但是目前Let's Encrypt 只支持同级子域名通配符。例如 *.demo.com 只支持 xx.demo.com 这种的,而不支持 xx.xx.demo.com ,而要支持二级通配符,需要再次颁发二级通配符证书 类似 *.demo.demo.com ,注意,这种的二级通配符,要求,一级域名是固定的,意即,不支持 *.*.demo.com

使用 acme.sh 简化证书颁发操作

官方建议使用Certbot ,但是很长一段时期Certbot不支持通配符(现在已经支持),而且对于证书自动续期支持的也不好。并且操作时也挺麻烦。

安装 acme.sh

$ curl https://get.acme.sh | sh
# 或者
$ wget -O -  https://get.acme.sh | sh
# 或者
$ git clone https://github.com/Neilpang/acme.sh.git
$ ./acme.sh/acme.sh --install
复制代码

DNS Api 颁发通配符证书

acme.sh 功能很强大,此处只介绍使用Dns Api 自动化颁发通配符证书. 目前支持包含阿里和DNSPod在内的60家dns服务商(参见 Currently acme.sh supports

如果你的DNS服务商不提供API或者acme.sh暂未支持,或者处于安全方面的考虑,不想将重要的域名的API权限暴露给 acme.sh,可以申请一个测试域名,然后在重要域名上设置CNAME(参见 DNS alias mode

假设您的域名在DNSPod托管,登陆DNSPod后台,依次打开 用户中心->安全设置-> API Token->查看->创建API Token-> 输入任意token名称->确定-> 保存ID和Token值(图中打码部分)

$ export DP_Id="你的ID"
$ export DP_Key="你的Token"
$ acme.sh --issue --dns dns_dp -d example.com -d *.example.com
# 如果 使用了DNS别名,还需要增加 --challenge-alias 别名域名 参数
# 为了防止dns不生效,脚本会暂停2分钟,并倒计时(Sleep 120 seconds for the txt records to take effect),等待即可
# 如果成功会出现 Cert success. 字样
# 不建议直接用~/.acme.sh 下的证书,参考 https://github.com/Neilpang/acme.sh/wiki/说明#3-copy安装-证书
# 需要使用 --installcert 复制到指定目录
$ acme.sh --installcert  \
				-d  example.com -d *.example.com \
        --key-file /etc/letsencrypt/live/example.com/privkey.pem \
        --fullchain-file /etc/letsencrypt/live/example.com/fullchain.pem \
        --reloadcmd  "service nginx reload"
复制代码

优化HTTPS配置

本文以 Mozilla SSL Configuration Generator 生成的nginx为例,同样也可以生成Apache和IIS

server {
    listen 80 default_server;
    listen [::]:80 default_server;

    # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;

    # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
    # openssl dhparam -out /etc/letsencrypt/live/example.com/ 2048
    ssl_dhparam /etc/letsencrypt/live/example.com/dhparam.pem;

    # intermediate configuration. tweak to your needs.
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
    ssl_prefer_server_ciphers on;

    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;

    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;

    ## verify chain of trust of OCSP response using Root CA and Intermediate certs
    # ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;

    resolver <IP DNS resolver>;

    ....
}
复制代码

检查HTTPS得分

访问 www.ssllabs.com/ssltest/ 提交自己域名,进行评分

参考资料

招聘小广告

山东济南的小伙伴欢迎投简历啊 加入我们 , 一起搞事情。

长期招聘,Java程序员,大数据工程师,运维工程师,前端工程师。

weixin_34332905
关注
SSL DUN证书生成指南
邓邓子的博客
07-29 194
第2步,第1步生成csr和key后点击第2步。
申请免费通配符证书(Let's Encrypt)并绑定IIS
Giant的工作回忆录
05-29 4336
什么是 Let’s Encrypt?部署 HTTPS 网站的时候需要证书证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 HTTPS 协议的使用。Let’s Encrypt 也是一个 CA 机构,但这个 CA 机构是免费的!!!也就是说签发证书不需要任何费用。什么是通配符证书在没有出现通配符证书之前,Let’s Encrypt 支持两种证书。1)单域名证书证书仅...
通配符证书解决内部连接证书错提示问题
weixin_33853794的博客
07-15 359
问题报错截图:解决方法:1、修改autodiscover 内部URL地址:检查原配置修改配置将内部url指向mail.contoso.com,命令如下:2、修改webservicesvirtualDirectory目录下的内部连接url地址:原始设置输出结果:调置方法命令如下:更改后,输出结果如下:3、设置OAB目录原设置输出结果:设置方法如下:调整后结果如下:设置完成此部后...
zerossl通配符证书申请教程
hwt854250的博客
09-14 5154
免费的ssl申请证的网站里,感 觉还是zerossl.com的ssl最好用,但很多没有布署过ssl的站长总是卡在通配符TXT解析这里,今天在这里提供详细的zerossl通配符证书申请的图文明过程 推荐各位使用火狐操作 首先,zerossl网站:https://zerossl.com 以我的网站(逍遥游www.zhuishu5.com)为例 第一步:如下图所示,点选 online tool...
手把手教你免费申请支持通配符SSL 证书
运维派
05-06 4841
得益于 Google 等大厂的消灭 HTTP 运动和 Let’s Encrypt 非盈利组织的努力,越来越多的站点开始迁移到 HTTPS,下图是 Let’s Encryp...
快速配置Let's encrypt通配符证书
owenzhang的博客
10-21 1597
本文已参与「掘力星计划」,赢取创作大礼包,挑战创作激励金。 利用certbot工具配置Let’s encrypt通配符证书,所域名下所有的子域名都能方便的使用 https证书,而且完全免费。值得关注的是,Let’s encrypt通配符证书只是针对二级域名,并不能针对主域名,如*.hubinqiang.com和hubinqiang.com 被认为是两个域名,如果和我一样使用的是主域名,在申请...
iOS推送实现/ 服务器向iOS APP推送消息 - 最新实践填坑版教程
梦想实现家Dyh
06-16 1159
最近做的一个项目需要用到服务器向app远程推送消息,百度到的教程大部分都是一两年前写的,由于教程版本的古老,中间遇到各种坑,导致这个功能拖了几个星期才搞定,今日终于脱坑,记录一下自己的操作步骤,填一些坑,希望读者能jin'liang。 步骤1: 文件准备
Java面试-北大青鸟合肥科海学院
qq_40731742的博客
05-19 1449
内部资料,请勿外传                                                              目录一、         Java基础部分... 111、           一个".java"源文件中是否可以包括多个类(不是内部类)?有什么限制?.. 112、           说说&amp;和&amp;&amp;的区别。.. 113、      ...
Openshift 4.4 静态 IP 离线安装系列:准备离线资源
sinat_28371057的博客
12-01 3137
本系列文章描述了离线环境下以 UPI (User Provisioned Infrastructure) 模式安装 Openshift Container Platform (OCP) 4.4.5 的步骤,我的环境是 VMware ESXI 虚拟化,也适用于其他方式提供的虚拟机或物理主机。离线资源包括安装镜像、所有样例 Image Stream 和 OperatorHub 中的所有 RedHat Operators。 本系列采用静态 IP 的方式安装 OCP 集群,如果你可以随意分配网络,建议采用 DHC
栋的月结 | 第一回合(定期更新、动态、架构、云技术、算法、后端、前端、收听/收看、英文、书籍、影视、好歌、新奇)[含泪总结.. 憋泪分享!]
纽雪澳诺加海美德的博客
02-01 2224
开篇词 大家好!以下是我在 2020 年 1 月 1 日至 31 日的所见、所闻、所学和所悟。 现在,我把它们安利给你们。   定期更新 原创专栏: 栋的周评 一文搞定 Linux 管理员手册:既简单又深刻 官方授权: Baeldung Java 周评 符合官方许可: Spring 官方指南   动态 在我的《一文搞定》系列专栏里新增了: 《一文搞定 |...
【大杂烩】杂7杂8的东西
热门推荐
vickytong1018的博客
10-28 2万+
记录平时工作的内容和体会
Windows的简单ACME客户端(与Let's Encrypt等人一起使用)-.NET开发
05-27
Windows ACME简单(WACS)Windows的简单ACME客户端-与“加密”一起使用。 (以前称为letencrypt-win-simple(LEWS))概述请访问我们的网站以获取最新概述,文档Windows ACME Simple(WACS)Windows的简单ACME客户端-与Let's Encrypt一起使用。 (以前称为letencrypt-win-simple(LEWS))概述请访问我们的网站以获取最新的概述,文档和下载。 社区支持如果遇到麻烦,可以提出一个问题。 首先,请检查手册或参考中是否涵盖您的问题。 如果找不到那样的隔离,请描述您要采取的确切步骤,并尝试提供尽可能多的相关信息
LetsEncrypt:用于生成通配符的C#层让我们加密SSL证书
02-05
让我们加密C#库 解决方案包括2个项目: LetsEncrypt.Client (.Net标准库-作为) LetsEncrypt.ConsoleApp (.Net核心控制台应用程序) LetsEncrypt.Client LetsEncrypt.Client是用于证书的客户端的简单,直接的C#实现。 库基于.NET Standard 2.1+ 。 它使用Let's Encrypt v2 API,并且该库主要面向生成通配符证书,如.pfx。 LetsEncrypt.ConsoleApp LetsEncrypt.ConsoleApp是基于.NET Core 3.1的先前LetsEncry
生成本地测试用https证书,支持通配符和多域名,初学OpenSSL
高坚果兄弟
01-27 4917
18-01-26在v2ex上看到一妹纸发的《身为一个 21 岁的年轻程序员,我已经腰突了(躺》,哈哈,感同身受,想到这几天我左腿麻木持续了好几天,前几天屁股疼的只要坐下就站不起来,不过站着却一点事没有,然后坚持站了好几天,目前屁股不疼,腿麻的毛病还没有恢复。。。[后续] 接触到的https https站点生产环境和本地测试环境搭建以前也有点接触(Windows Server2008
您不是文件所有者_如何解决您的连接不是私人错误(网站所有者指南)
cumohuo9136的博客
09-05 4354
您不是文件所有者Are you seeing ‘Your connection is not private’ error on your WordPress website? This is the error message you’ll see on Google Chrome. 您是否在WordPress网站上看到“您的连接不是私人的”错误? 这是您会在Google Chrome浏览器...
前端该知道些密码学和安全上的事儿
最新发布
dzqxwzoe的博客
01-03 340
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Let's Encrypt 给网站加 HTTPS 完全指南certbot
cstopery
07-14 1万+
Let's Encrypt 给网站加 HTTPS 完全指南 29 MAY 2016 前段时间在北京联通3G移动网络下,发现自己的站点被联通劫持注入恶心的话费充值广告,决定让我的网站强制使用 HTTPS,避免 ISP 劫持。 使用 HTTPS 前的一些疑惑 现在是 2016 年,使用 HTTPS 已经不像几年前是一件昂贵的事情。当然我也是自己了解了一圈才消除了自己的疑惑,主要是: 我的
通过 ZeroSSL 获取免费九十天Sectigo-TLS/SSL证书
liulilittle的博客
05-07 1713
白嫖使人们加倍快乐,能不给钱就不给钱,给钱是不可能的!我们知道诸如 “freessl.org”、“www.sslforfree.com” 提供的SSL证书有效期只有90天并且最恶心的不提供 “通配符*SSL证书” 就是为了让人们出至少10美金一个月买SSL证书订阅服务,一个邮箱账号,免费三个SSL证书颁发(不需要认证,用临时邮箱),ZeroSSL也是相同的操作机制。 但人们知道大多数HTTPS网站并不需要 “域名”、“www.域名” 以外的域名SSL证书,但有些时候会用到 “api.域名” 这种格式,不过
单域名ssl证书和多域名ssl证书通配符ssl证书的区别
03-13
单域名SSL证书只能保护一个域名,多域名SSL证书可以保护多个域名,而通配符SSL证书可以保护一个域名及其所有子域名。通配符SSL证书的价格相对较高,但可以为多个子域名提供保护,而多域名SSL证书的价格相对较低,但...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值