配置免费的SSL证书

最新推荐文章于 2024-05-13 12:15:15 发布
最新推荐文章于 2024-05-13 12:15:15 发布
阅读量590 收藏
点赞数
分类专栏: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42489436/article/details/103158108
版权

配置HTTPS(如果服务器已经安装过这些可以直接从第二大不开始)
一、基本环境
1、安装依赖 ##已经安装的可以跳过
yum install openssl
yum install epel-release -y
2、生成2048位 DH parameters:
$ sudo openssl dhparam -out /etc/letsencrypt/live/dhparams.pem 2048
3、安装cerbot工具
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto(赋予执行权限)
二、域名验证
1、nginx配置文件 ##这里最好是吧目录改称这样的底层
location /.well-known/acme-challenge/ {
allow all;
}
2、生成证书,以下命令首次执行需要安装一些依赖包
sudo /usr/sbin/certbot-auto certonly --webroot -w /home/wwwroot/www.qwwq.com/public -d www.qwwq.com,pgkid.com --email 自己的邮箱@163.com ## 这里换上自己的目录,域名和邮箱

第一次执行不建议自动确认参数 --agree-tos
3、如果使用apache,移除apache的干扰
mv /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf.org
service httpd restart
4、修改配置nginx文件
加在listen:80下面一行。
if ($ scheme = http)
{
#return 301 https://$ server_name$ request_uri; (强制跳转;复制的时 候注意$后面有空格要去掉)
}
listen 443 ssl http2;
#listen [::]:443 ssl http2;

location ~ /.well-known {
allow all;
}
##配置文件中只要是改这两行
ssl_certificate /etc/letsencrypt/live/hs.123.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hs.123.com/privkey.pem;
##
ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ‘ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 20m;
ssl_dhparam /etc/letsencrypt/live/dhparams.pem; ## 这里最好改成一样的

5、nginx重新加载 nginx -s reload
6、打开防火墙端口 ## 可以不管
firewall-cmd --zone=public --add-port=443/tcp
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --list-all 查看效果


7、浏览器测试
8、证书自动更新

    • */5 * * /home/ssl/certbot-auto renew --quiet > /dev/null 2>&1 ; /usr/bin/nginx/ -s reload ##按着自己服务器的执行文件写目录

后面附整个的配置文件

server
    {
        listen 80;
        if ($scheme = http){
           return 301 https://$server_name$request_uri;
        }
        listen 443 ssl http2;

        server_name 配置的域名;
        index index.html index.htm index.php default.html default.htm default.php;
        root  /home/wwwroot/项目根目录;
		##tp必须加的转写
        if (!-e $request_filename) {
           rewrite  ^(.*)$  /index.php?s=$1  last;
           break;
        }
	
		##	SSL生成的两个key
        ssl_certificate /etc/letsencrypt/live/zhao/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/zhao/privkey.pem;
        
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_session_cache builtin:1000 shared:SSL:10m;
        ssl_dhparam /etc/letsencrypt/live/dhparams.pem;

        include rewrite/other.conf;
        #error_page   404   /404.html;

        # Deny access to PHP files in specific directory
        #location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; }

        include enable-php-pathinfo.conf;

        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
        {
            expires      30d;
        }

        location ~ .*\.(js|css)?$
        {
            expires      12h;
        }

        location ~ /.well-known {
            allow all;
        }

        location ~ /\.
        {
            deny all;
        }
##	日志生成目录
	access_log  /home/wwwlogs/zhao.log;

    }
共同成长
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl命令之DH参数生成_openssl dh公钥,2024年最新被逼无奈开始狂啃底层技术
04-18 714
在OpenSSL中,DH(Diffie-Hellman)参数是一组用于密钥交换的参数,通常包括素数(p)和生成元(g)。Diffie-Hellman密钥交换算法允许两个通信方在不共享密钥的情况下,通过不安全的通信信道协商出一个共享密钥。DH参数在这个过程中起到关键作用,确保生成的共享密钥对通信双方都是私密的。使用OpenSSL的gendh命令可以生成DH参数。在这个命令中,指定了输出文件的名称为2048指定了DH参数的位长度为2048位。你可以根据需要选择不同的位长度。生成的文件包含了生成的DH参数。
Nginx——配置ssl证书
专注写bug
03-29 551
文章目录证书路径配置nginx.config配置单一的config注意事项 证书路径 在centos服务上创建新的文件夹,保存ssl证书文件: mkdir /root/sslssl证书文件上传至服务器中,保存至指定的文件夹内: 配置nginx.config 由于服务器上项目较多,采取的是分离配置文件的方式实现监听。 nginx.config: [root@VM-0-13-centos conf]# cat nginx.conf # For more information on configurat
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞(1)
最新发布
2401_84545291的博客
05-13 1183
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Linux更改远程默认SSL端口
qq_42952147的博客
03-20 1722
默认22端口不安全,这些修改下,本例更改为25846 1、去阿里云开放端口 2、root下使用vim /etc/ssh/sshd_config vim /etc/ssh/sshd_config /22 找到Port 22 编辑模式下 加入Port 25846,并ESC退出编辑模式,:wq保存退出; 3、systemctl restart sshd命令,重启服务。 systemctl res...
Nginx使用SSL加密,配置文件各个参数的含义
thj_blog
07-07 4555
常见参数 ssl_certificate证书其实是个公钥,它会被发送到连接服务器的每个客户端 ssl_certificate_key私钥是用来解密的,所以它的权限要得到保护但nginx的主进程能够读取。 ssl_session_timeout : 客户端可以重用会话缓存中ssl参数的过期时间,内网系统默认5分钟太短了,可以设成30m即30分钟甚至4h。 sl_session_cache shared:SSL:10m; : 设置ssl/tls会话缓存的类型和大小。 ...
nginx修复-----SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
一个杯子的博客
04-07 4121
需编辑 nginx.conf 解决。 1、生成 dhparams.pem。 cd /usr/local/nginx/conf openssl dhparam -out dhparams.pem 2048 chmod -R 755 dhparams.pem 2、编辑 nging.conf 文件,添加 ssl_dhparam {path to dhparams.pem} 。 ssl_dhparam /usr/local/nginx/conf/dhparams.pem; 3、openssl查看版本 #openss
Tomcat配置SSL证书的方法
09-30
主要介绍了Tomcat配置SSL证书的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
申请免费SSL证书
10-31
### 申请免费SSL证书 #### 一、SSL证书简介与重要性 SSL(Secure Sockets Layer)证书是一种用于加密网站服务器与用户浏览器之间通信的安全协议。它通过建立一个加密通道来保护用户的隐私数据,如登录凭证、信用卡...
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
本文将详细介绍如何通过 Let’s Encrypt 获取免费 SSL 证书,并结合 Nginx 配置实现自动续签。 #### 二、获取 Let’s Encrypt SSL 证书的前提条件 在开始之前,请确保您的环境满足以下条件: 1. 已通过 yum 安装 ...
免费SSL证书申请及配置
03-30
免费SSL证书申请及配置。使用startssl证书,并详细描述配置要点。
Apache+phpStudy配置SSL证书所有文件
06-09
在Apache服务器上配置SSL证书,我们需要以下文件: 1. 服务器私钥(server.key):这是服务器用于加密和解密通信的秘密钥匙。 2. 证书签名请求(CSR,Certificate Signing Request):包含服务器的公钥和相关信息,...
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
热门推荐
看着博客敲代码
01-18 2万+
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。 当服务器SSL/TLS的瞬时Diffie-Hellman公
openssl命令之DH参数生成
N阶二进制的博客
11-02 1133
在OpenSSL中,DH(Diffie-Hellman)参数是一组用于密钥交换的参数,通常包括素数(p)和生成元(g)。Diffie-Hellman密钥交换算法允许两个通信方在不共享密钥的情况下,通过不安全的通信信道协商出一个共享密钥。DH参数在这个过程中起到关键作用,确保生成的共享密钥对通信双方都是私密的。使用OpenSSL的gendh命令可以生成DH参数。在这个命令中,指定了输出文件的名称为2048指定了DH参数的位长度为2048位。你可以根据需要选择不同的位长度。生成的文件包含了生成的DH参数。
等保测评系列 SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
eson的博客
07-07 4291
等保测评系列 SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】 nginx修复方式:需编辑 nginx.conf 解决 1、生成 dhparams.pem文件 cd /usr/local/nginx/conf openssl dhparam -out dhparams.pem 2048 chmod -R 755 dhparams.pem 2、编辑 nging.conf 文件,server下添加 ssl_dhparam {path to dhparams
windows下用OpenSSL命令行生成证书文件
tianxiajianling的专栏
05-01 5247
 安装Cygwin完整版安装opensslopenssl/out32dll     为了方便本人把apps下的openssl.cnf也复制到了这个目录下来。文件名都是以本人使用的来说了:1.首先要生成服务器端的私钥(key文件):openssl genrsa -des3 -out server.key 1024运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,
httpd2.4+阿里云免费ssl证书配置
Roy的博客
04-16 732
1.从阿里云网站申请CA证书,一般下载后证书为4个。已如下图为例子,其中152***.pem为证书公钥2.httpd服务器开启相应模块,以及引用 httpd-ssl.conf配置文件。在http.conf文件中找到LoadModule ssl_module modules/mod_ssl.soInclude conf/extra/httpd-ssl.confLoadModule rewrite_m...
HAproxy1.8 版本配置MinIO SSL出错解决方案
MinIO
12-17 379
etc/haproxy/haproxy.cfg 首先,您将使用 实用程序生成一个 dhparams.pem 文件。但是在HAproxy 1.8版以及之前的版本中,证书为.pem 与private key进行合成为一个证书的办法,产生证书。一种选择是根据警告消息在 中明确将 tune.ssl.default-dh-param 值设置为大于 1024 的值。在新的标准中证书为.pem 和 private key 分别设置,由HAproxy进行读取。针对此问题,进行了长达7个工作日的测试,产生此结论。
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)
分享型博主
07-26 6859
文章来自一份绿盟安全评估中的服务器漏洞扫描分析结果,据市场研究公司Gartner研究报告称“实施漏洞管理的企业会避免近90%的攻击”。可以看出,及时的漏洞修补可以在一定程度上防止病毒、攻击者的威胁。这个报告是合作单位的服务器安全评估出来的,帮忙协助处理下,希望对看到的小伙伴有所帮助,有问题咱们一起讨论实践哦。
SSL 配置优化的若干建议
Hummer
01-28 1万+
转载自本人博客:https://dev.tail0r.com/ssl-optimization/ 如果你配置SSL只是为了网站的网址前有一把锁的标志,那不如直接送你把锁好了。 别想了,这句话不是哪个安全专家说的,是我说的(逃) 今天写一篇文章记录一下自己 SSL配置优化过程。以下设置均为 Nginx 的配置。 Forward Secrecy(前向加密) forward...
配置Tomcat SSL证书指南
SSL配置是确保网站数据传输安全的关键步骤,可以防止中间人攻击、数据篡改以及用户隐私泄露。 在Tomcat这样的Java应用服务器中,配置HTTPS SSL涉及以下几个主要步骤: 1. 创建Keystore:Keystore是一个存储证书和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值