HTTPS 签名证书自动生成、检查、更新

最新推荐文章于 2024-05-14 09:39:23 发布
最新推荐文章于 2024-05-14 09:39:23 发布
阅读量1.3k 收藏
点赞数
文章标签: https nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39732758/article/details/110194707
版权

一、背景

     为何使用https,具体不做介绍,相比大家都很清楚。使用SSL 证书有免费的也有收费的。这里使用的由Let’s Encrypt SSL 提供的完全免费的certificates。 本文将使用Certbot工具进行证书的一系列操作。

什么是Certbot?

    Certbot是一个免费的开源软件工具,可用于在手动管理的网站上自动使用Let's Encrypt证书来启用HTTPS。

二、前置条件

1、有属于自己的域名

Encrypt 只为域名提供证书,比如"*.com"、“*.cn”等顶级域名。

2、拥有命令行访问权限

具有访问服务器的权限

三、配置https

本文配置环境,CentOS7,Nginx

下载安装certbot

两种安装方式,(个人首选第二种,因为简洁)

第一种,参考certbot官网提供的安装文档,提供的文档很丰富,每个系统与软件都有单独的文档。本文参考文档

 

第二种,从github拉取源码,然后跑源码进行证书生成等一系列操作;

1、安装git

yum install git

2、下载证书包,并放到你想放到的文件夹(/opt/letsencryp

git clone https://github.com/certbot/certbot /opt/letsencryp

3、进入证书目录

cd /opt/letsencrypt

4、创建并部署Let’s Encrypt SSL 证书

./certbot-auto certonly --standalone --email 2897xxx@qq.com -d example.com

./certbot-auto certonly --webroot --email 2897xxx@qq.com -d example.com

注意:

 

  • 上面命令中的 email 地址是方便你接收证书密钥回复以及紧急信息的,尽量填写企业邮箱或者 gmail 邮箱,QQ邮箱应该也可以,你可以填写试试,邮箱也可以不用填写。
  • 你的网站域名如果是 xyz.com,那么上面就改为: -d xyz.com

  •  standalone 方式: certbot 会自己运行一个 web server 来进行验证。如果我们自己的服务器上已经有 web server 正在运行 (比如 Nginx 或 Apache ),用 standalone 方式的话需要先关掉它(80端口),以免冲突。

  •  

     webroot 方式: certbot 会利用既有的 web server,在其 web root目录下创建隐藏文件, Let’s Encrypt 服务端会通过域名来访问这些隐藏文件,以确认你的确拥有对应域名的控制权。

  • certonly:不添加certonly则certbot将会自动配置nginx.conf文件,添加则只生成证书文件,后期需要自己配置nginx.conf文件。

然后等待:

 

接着,会询问你是否同意的协议。agree 的话,输入 a,回车。此时就准备创建证书了,如果成功则会有如下提示:

 

在目录/etc/letsencrypt/live下将会有生成的证书文件夹,文件夹的名称就是你申请的域名,且你证书的有效期(90天有效期),并且告诉你如果证书到期了你该怎样做;

证书文件,其中里面有一个文件告诉你,最好不要修改或移动这些文件“cert.pem      chain.pem    fullchain.pem(公钥) privkey.pem(私钥)“

 

然后使用这些证书文件配置自己的nginx就行。

注:记得开放443端口;

查看所有开放的端口:firewall-cmd --zone=public --list-ports

开放443端口: firewall-cmd --zone=public --add-port=443/tcp --permanent

重启防火墙:systemctl restart firewalld

四、配置证书自动续期

首先,检查你的 Let’s Encrypt 证书管理程序是否是 Certbot(你是否安装了 Certbot)

执行命令

find / -name "certbot"

如果找到类似于 /bin/certbot  的结果,那么说明已安装了 Certbot,上述步骤都已执行,则应该没问题。

如果想手动更新证书只需执行/bin/certbot renew即可,但是如果证书有效期超过30天则会提示如下错误信息(当然可以修改配置文件取消30天的限制)

 

1、检查 Cron 服务状态

systemctl status crond

 

如果提示错误,或没有安装Cron,则执行如下命令进行安装:

yum -y install vixie-cron

yum -y install crontabs

2、启动 Cron 服务

systemctl enable crond
systemctl start crond

Cron 加入开机启动的服务列表中,编辑计划任务

crontab -e
使其在1,3,5,7,8,11等月的28日的凌晨2点执行,当然时间可以自己按证书的申请日期来确定,使其确保在证书未失效的30天内执行该命令
0 2 28 1,3,5,7,9,11 * "systemctl stop nginx ; /bin/certbot renew ; systemctl restart nginx"

五、测试SSL是否完全OK

 

使用该网站检测输入自己的域名即可,https://www.ssllabs.com/ssltest/

 

 

叶夜流年
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx配置SSL自签名证书的方法
09-30
主要介绍了Nginx配置SSL自签名证书的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
制作安卓签名证书工具.rar
06-19
调试时,Android Studio会自动生成Debug证书。 3. **证书过期**:记得检查证书的有效期,过期前及时续签,以免影响应用更新。 总结,安卓签名证书是保证应用安全和完整性的关键步骤。无论是使用Keytool命令行还是...
HTTPS域名证书生成
fangling86的专栏
12-08 201
Let’s Encrypt颁发的是标准的域名验证型(DV)证书,且不收取任何费用,我们可以使用 ACME 客户端从 Let’s Encrypt 获得证书,为网站启用 HTTPS 连接
推荐开源项目:一键生成本地开发自签名SSL证书
最新发布
gitblog_00025的博客
05-14 235
推荐开源项目:一键生成本地开发自签名SSL证书 项目地址:https://gitcode.com/kingkool68/generate-ssl-certs-for-local-development 在进行本地HTTPS站点开发时,你是否曾因缺少SSL证书而苦恼?不用担心,这个名为"Generate Self-Signed SSL Certificates for Local Deve...
生成baidu.com域名的私有证书:Linux系统命令示例
weixin_41544125的博客
03-16 405
,你可以将它们用于你的应用程序或服务器,具体取决于你的需求。例如,如果你正在运行一个HTTPS服务器,你可能需要将它们配置到服务器软件中。接下来,使用私钥创建一个证书签名请求(CSR)。这将包括你想要在证书中包含的信息,如域名、组织等。你应该替换为与你相关的真实信息。首先,你需要生成一个私钥。这将生成一个有效期为365天的自签名证书。这将显示证书的详细信息,包括主题、发行者、有效期等。域名的私有证书(通常指的是自签名证书),你可以使用。最后,使用私钥和CSR来生成自签名证书。现在你已经有了私钥(
【原创】开源一款域名SSL证书监控告警系统-DCEM
于大宝子和小野丫头
07-19 460
一款帮助企业运营/运维管理人员,清晰的全面的掌握企业域名SSL证书到期时间。结合清晰的WEB页面以及飞书监控,让运维管理人员了解哪些域名绑定了SSL证书,应该去何处更新域名SSL证书
获取Let‘s Encrypt https 证书并自动更新
qq_22783587的博客
08-18 436
参考官方文档 环境: CentOS/RHEL 7 1. 安装snap,如果已安装,确保是最新版 sudo snap install core; sudo snap refresh core 2. 删除 certbot-auto 以及任何 Certbot OS 安装包 根据你安装时使用的工具执行不同的命令 sudo apt-get remove certbot, sudo dnf remove certbot sudo yum remove certbot. 3. 安装 Certbot sudo snap
Https网址在线安全检测网站
qq_40907977的博客
05-21 1万+
国外 https://www.ssllabs.com/ssltest/index.html 国内 https://myssl.com https://bsi.baidu.com/topic/https.html https://www.upyun.com/https http://s.tool.chinaz.com/https https://www.chinassl.net/ssltools/ssl-lock-checker.html 参考链接: Https网址在线安全检测网站 :https://aqz.
WinForm程序创建证书签名安装、发布、自动更新全过程
12-16
在开发Windows Forms(WinForm)应用程序时,为了确保软件的安全性和可靠性,开发者通常需要进行证书创建、签名安装、发布以及自动更新等操作。本文将详细介绍这些关键步骤,并结合提供的两个文档,即“WinForm...
Java+电子签名,生成PDF格式的合同
06-14
PDF阅读器如Adobe Acrobat会自动检查签名的完整性,如果签名有效,那么表明文档自签名后未被修改过。 5. **安全性考虑**: 在实际应用中,私钥应妥善保管,不应暴露在不安全的环境中。同时,电子签名服务通常会...
swift-自动生成签名HTTPS服务器可以快速安装ipaapk
08-15
在Swift编程领域,自动生成签名HTTPS服务器是一个实用的技术,尤其对于iOS和Android开发者来说,它能方便快捷地部署和安装ipa与apk应用。本文将深入探讨这一主题,基于"ios-ipa-server"项目,解释如何创建这样的...
Nginx更新https证书,三步走
qq_38685242的博客
07-11 6424
根据服务器配置指定的证书文件夹,上传
让网站永久拥有HTTPS - 申请免费SSL证书并自动续期
热门推荐
LucienShui
02-05 12万+
为什么要用HTTPS   网站没有使用HTTPS的时候,浏览器一般会报不安全,而且在别人访问这个网站的时候,很有可能会被运营商劫持,然后在网站里显示一些莫名其妙的广告。   有HTTPS的时候,通俗地讲所有的数据传输都会被加密,你和网站之间的数据交流也就更加安全。 怎样配置 相关简介 Let’s Encrypt   如果要启用HTTPS,我们就需要从证书授权机构处获
Ssl证书申请与自动续签
小菜鸟正洋洋的博客
04-24 3807
转载自我师兄的博客,安利一波:http://zbrid.com/post/ssl%E8%AF%81%E4%B9%A6%E7%94%B3%E8%AF%B7%E4%B8%8E%E8%87%AA%E5%8A%A8%E7%BB%AD%E7%AD%BE/ 利用certbot 实现SSL证书自动续签功能 最近使用hugo在阿里云上搭建了一个个人博客,在使用博客的时候想到干脆把https也上上去吧,然后...
使用Certbot 生成 https 证书
Jack huang的专栏
02-12 5307
1.下载certbot项目 # git clone https://github.com/certbot/certbot.git # cd certbot/ # chmod a+x ./certbot-auto   2.生成一个或多个单域名证书,事先要确保80、443端口可以通,并且没有被占用,最后域名有解析并且解析到当前服务器 # ./certbot-auto certonly --...
域名证书生成器
wjiankui的专栏
08-24 1051
http://cert.yahei.net/
如何生成多域名证书
Iteye博客
04-11 2543
多域名证书 https://www.digicert.com/subject-alternative-name.htm Multi-Domain (SAN) Certificates - Using Subject Alternative Names 使用者备用名称 The Subject Alternative Name Field Explained The Subject Alte...
HTTPS-自己生成数字证书
无风听海
11-16 4237
一、获取证书的途径 自签名证书,适用于开发者测试HTTPS,最快速的途径就是生成自签名证书,非常方便。 Let’s Encrypt证书,可以使用免费CA机构签发的证书。 使用收费CA机构签发的证书,如果对证书安全性、兼容性、功能有特殊需求,可以向CA机构申请证书。 二、自签名证书签名证书是我们自己签发的,浏览器不会集成私有的CA机构的根证书,所以打开页面的时候会进行提示,用户选择信任证书之后,后续的通信就会进行加密保护的。 自签名证书的用途还是很广泛的,对于一些企业内部系统,由于购买证书需要成本,可
生成本地测试用https证书,支持通配符和多域名,初学OpenSSL
高坚果兄弟
01-27 4889
18-01-26在v2ex上看到一妹纸发的《身为一个 21 岁的年轻程序员,我已经腰突了(躺》,哈哈,感同身受,想到这几天我左腿麻木持续了好几天,前几天屁股疼的只要坐下就站不起来,不过站着却一点事没有,然后坚持站了好几天,目前屁股不疼,腿麻的毛病还没有恢复。。。[后续] 接触到的https https站点生产环境和本地测试环境搭建以前也有点接触(Windows Server2008
生成自签名证书
06-01
生成自签名证书的步骤如下: 1. 生成私钥 使用 OpenSSL 命令生成一个 2048 位的 RSA 密钥对,命令如下: ``` openssl genrsa -out key.pem 2048 ``` 2. 生成证书请求 使用 OpenSSL 命令生成一个证书请求(Certificate Signing Request,CSR),命令如下: ``` openssl req -new -key key.pem -out req.csr ``` 在执行该命令时需要输入一些基本信息,如国家、省、城市、组织名称等。 3. 生成自签名证书 使用 OpenSSL 命令生成自签名证书,命令如下: ``` openssl x509 -req -days 365 -in req.csr -signkey key.pem -out cert.pem ``` 该命令将使用私钥 key.pem 和证书请求 req.csr 生成一个有效期为 365 天的自签名证书 cert.pem。 注意:生成的自签名证书不能被公共信任的证书机构所认证,只能在局域网等内部环境中使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值