Lets-Encrypt配置泛域名证书

已于 2024-02-05 20:05:05 修改
阅读量1.4k 收藏 28
点赞数 17
文章标签: 域名
于 2024-02-04 21:52:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43804047/article/details/136032438
版权

参考教程:Create Let’s Encrypt Wildcard Certificates in NGINX

Let’s Encrypt 是一个免费、开放且自动化的证书颁发机构,由 Linux 基金会进行日常管理维护。它为大量网站提供 TLS 证书,帮助网站轻松实现 HTTPS 加密。下面我将介绍如何利用 Let’s Encrypt 为网站生成免费的泛域名 SSL 证书。

一、环境

❯ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 20.04.6 LTS
Release:        20.04
Codename:       focal

❯ uname -i
x86_64

❯ nginx -v
nginx version: nginx/1.18.0 (Ubuntu)

二、安装Certbot

Certbot 是一个自动化的工具,用于获取和续签 Let’s Encrypt 的 SSL 证书。

# 安装 snap
sudo apt install snap  -y
sudo snap install core
sudo snap refresh core

# 通过 snap 安装 certbot
sudo snap install --classic certbot
# 创建软连接,避免 sudo 下找不到命令
sudo ln -s /snap/bin/certbot /usr/bin/certbot

三、获取泛域名证书

通过 Certbot 获取泛域名证书。泛域名证书允许我们为一个域名及其所有子域名使用同一个 SSL 证书。

sudo certbot certonly --manual --preferred-challenges=dns --server https://acme-v02.api.letsencrypt.org/directory --agree-tos -d "*.codejerry.cn"

参数释义:

  • certonly: 仅获取证书,不尝试安装。
  • --manual: 手动模式,需手动执行一些步骤,例如添加 DNS 记录。
  • --preferred-challenges=dns: 使用 DNS 验证域名所有权。
  • --server: 指定 ACME 服务器的 URL。
  • --agree-tos: 同意服务条款。
  • -d: 指定获取证书的域名。

在这个过程中,你要去域名托管平台(如阿里云),添加对应的TXT解析记录, Certbot 会指导你通过添加 DNS TXT 记录来验证你对域名的控制权。完成验证后,证书(两个文件)将被颁发,并保存在 /etc/letsencrypt/live/codejerry.cn/ 目录下:

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/codejerry.cn/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/codejerry.cn/privkey.pem
This certificate expires on 2024-05-04.
These files will be updated when the certificate renews.

其中 fullchain.pem 是证书文件,privkey.pem 是私钥文件。

这里也可以不用 manual 手动添加解析,但需要借助第三方托管平台,比如 cloudflare,当前暂不考虑。

下一步,3个月后更新证书,按照下面的提示即可(重新运行之前的指令)

NEXT STEPS:
- This certificate will not be renewed automatically. Autorenewal of --manual certificates 
requires the use of an authentication hook script (--manual-auth-hook) but one was not provided. 
To renew this certificate, repeat this same certbot command before the certificate's expiry date.

四、普通域名证书

对于单个域名的证书,可以省略 DNS 验证步骤。假设域名 mydomain.codejerry.cn 已经解析到服务器 IP,可以直接运行以下命令:

sudo certbot certonly --server https://acme-v02.api.letsencrypt.org/directory --agree-tos -d "mydomain.codejerry.cn"

按照提示操作,选择 Nginx 插件进行验证。

五、配置 Nginx

生成证书后,需要在 Nginx 配置中添加 SSL 相关设置,比如:

server {
    listen 443 ssl;
    server_name codejerry.cn test.codejerry.cn;

    ssl_certificate /etc/letsencrypt/live/codejerry.cn/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/codejerry.cn/privkey.pem;
    ...
}

执行 sudo nginx -s reload 重启 Nginx 生效。

六、证书自动更新

Let’s Encrypt 的证书有效期为 90 天,因此需要定期更新。可以通过设置 crontab 定时任务来自动更新证书(仅对单域名有效)

sudo crontab -e
# 添加以下内容
0 0 1 * * /usr/bin/certbot renew --quiet

注:自动更新未测试过,不确定有效

七、证书迁移

如果想在服务器B上的相同域名下使用这个证书,不用重新获取,迁移过去即可,方法如下:

  1. cd到证书路径下,查看证书,发现证书是软链接的

  2. 根据软链接的提示找到证书源文件,发现会有四个文件。原证书文件路径在/etc/letsencrypt/archive/codejerry.cn

  3. 进入上边的路径,然后将使用的两个文件内容重定向出来

    cd /etc/letsencrypt/archive/codejerry.cn
cat fullchain1.pem > full
cat privkey1.pem > privkey

  4. 将full和privkey两个文件复制到服务器B即可

八、小结

通过上述步骤,可以为你的网站配置泛域名或普通域名的 SSL 证书,提高网站的安全性和可信度。

整天梦游的小jerry
关注
  • 17
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Let's Encrypt 配置域名通用证书
微道道的博客
04-18 2252
最近个人有10多个二级域名需要签发证书,而Let's encrypt 提供期限为三个月的免费SSL证书,到期之后需要renew,官方还提供自动renew的工具certbot。这里记录下使用Let's Encrypt生成域名的通用证书。 什么是 Let’s Encrypt? 部署 HTTPS 网站的时候需要证书证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 ...
Let’s Encrypt域名证书生成 acme.sh免费申请使用
csdn_life18的博客
01-20 1075
Let’s Encrypt域名证书生成 acme.sh免费申请使用配置这博客越来越卡,从统计数据了解到跳出率差不多 85% ,新用户进入差不多要 5 秒左右,简直卡的不行。感觉我迟早要升级服务器配置。但是在升级前,想先将图片做好对象存储。在配置阿里云 OSS 对象存储之前需要准备好一个域名证书。现在网站使用的证书是最初建站时送的一年宝塔免费证书。半小时 宝塔搭建一个部署SSL证书 配置伪静态实现301跳转HTTPS的网站。
Let‘s Encrypt免费安全证书的步骤及使用-基于centos9, 包括工具certbot安装及使用,获取apache、nginx、iis等服务器安全证书_let‘s encrypt
最新发布
2401_84545364的博客
05-13 1075
Certbot 是一个由 Electronic Frontier Foundation(EFF)支持的免费、开源的工具,用于自动化获取、部署和更新 HTTPS 证书。它是为了方便使用 Let’s Encrypt 服务而开发的,允许用户在 Web 服务器上快速设置 SSL/TLS 加密连接。
Let‘sEncrypt快速颁发及自动续签域名证书实践指南
WeiyiGeek 唯一极客IT知识分享
04-10 5811
[TOC] 0x00 前言简述 描述: Let's Encrypt 是免费、开放和自动化的证书颁发机构由Linux基金会(Linux Foundation)进行日常管理维护,它为1.8亿个网站提供TLS证书的非盈利性证书颁发机构, 通过它我们可以免费申请网站证书,并您的网站上启用 HTTPS (SSL/TLS) 提供支持。 前置需求: 域名所有者 : Let’s Encrypt 是一个证书颁发机构(CA), 要从 Let’s Encrypt 获取您网站域名证书,您必须证明您对域名的实际控制
Let's Encrypt 域名证书申请
小云的博客
04-15 2647
域名 域名证书又名通配符证书是SSL证书中的其中一种形式,一般会以通配符的形式(如:*.domain.com)来指定证书所要保护的域名。OV证书和DV证书都会有通配符的域名形式提供,而EV证书一般没有通配符的证书形式。1.配置灵活方便由于采用了通配符的形式对域名进行配置,那么对于拥有多个二级域名的网站是一件非常便利的事情。只要申请一张通配符证书,就能用于所有的二级域名...
申请域名证书和自动续签(网站证书https)
weixin_43120962的博客
11-14 1185
随着网站安全需求增加,数字化证书需求越来越多,而对于个人网站而言各个平台的证书价格昂贵,如何获取属于自己的证书呢?学习本文章教你如何免费安装Let’s Encrypt证书(官网:https://letsencrypt.org/)。Let’s Encrypt 是一个于 2015 年三季度推出的数字证书认证机构,旨在以自动化流程消除手动创建和安装证书的复杂流程,并推广使万维网服务器的加密连接无所不在,为安全网站提供免费的 SSL/TLS 证书
Let's Encrypt域名证书
热门推荐
沙沙罗曼的专栏
03-19 1万+
Let’s Encrypt域名证书 Let’s Encrypt来头不小…略… 博客需要支持HTTPS,用Let’s Encrypt提供的免费证书,真是再好不过,近期Let’s Encrypt宣布支持域名证书的申请,觉得域名证书比单域名证书更好维护,也就尝尝鲜,本文记录使用certbot申请域名证书的过程以及遇到的几个问题。 安装 已安装过certbot-0.21.0,系统信息:...
lets-encrypt-iis:用于精彩的 Let's Encrypt 项目的 IIS 配置
05-29
python letsencrypt_iis.py --config config.ini ``` 六、证书申请与安装 脚本会自动执行以下步骤: 1. 向Let's Encrypt发起证书申请。 2. 使用HTTP-01验证方法,通过在IIS站点上创建临时文件来证明你对域名的...
docker-letsencrypt-nginx-proxy-companion:LetsEncrypt伴侣容器用于nginx-proxy
02-02
标题中的“docker-letsencrypt-nginx-proxy-companion”是一个开源项目,它专为与nginx-proxy容器协同工作设计,目的是为了方便地获取并自动更新Let's Encrypt的免费SSL/TLS证书Let's Encrypt是一个非营利组织,...
lets-encrypt-azure:基于Azure功能的让我们为Azure CDN和应用程序服务加密自动化
04-05
基于Azure功能的加密自动化自动为Azure中的所有自定义域名颁发“让我们加密SSL证书”。动机现有解决方案(,)可以很好地工作,但仅针对Azure App Services。 此解决方案还使基于Azure CDN的域能够使用“让我们加密...
docker-compose-letsencrypt-nginx-proxy-companion:与letencrypt集成的自动化docker nginx代理
02-02
通过该协议,客户端(在这种情况下是docker-compose-letsencrypt-nginx-proxy-companion)可以与Let's Encrypt的服务器通信,验证域名所有权并请求证书证书的获取和更新过程都是自动化的,避免了手动操作的繁琐。 ...
ns-letsencrypt:让我们加密和自动更新Netscaler的证书
05-19
标题中的“ns-letsencrypt”是一个项目或工具,它的主要目标是帮助用户为Netscaler设备获取并自动更新Let's Encrypt证书Let's Encrypt是一个免费、自动化和开放的证书颁发机构,提供HTTPS(SSL/TLS)证书,以促进...
Let‘s Encrypt域名使用和Nginx配置拆分
IT王小二的博客
08-19 1487
上一期写了 使用Let’s Encrypt实现网站https化 ,随着二级域名的增多,每个二级域名需要一张 SSL 证书,这可太不优雅了,域名表示我可以更优雅。 作者:IT王小二 博客:https://itwxe.com 本来 Let’s Encrypt 域名使用、Nginx 配置拆分是准备分成两篇文章来写的,可是两篇文章又感觉篇幅过短和冗余。 所以最后决定写在一篇里面吧,同时把整个流程写明白,之前有人问有了证书怎么搭配 Nginx 来配置,这篇从域名映射到Nginx配置完成的保姆级教程,小二求个
使用certbot 生成 Let‘s Encrypt 域名ssl证书
J_Lee
03-14 879
使用certbot 生成 Let's Encrypt 域名ssl证书
Let's Encrypt 域名证书
wonbin2011的专栏
04-20 1410
2018年3月 Let's Encrpt 宣布支持使用 ACMEv2和域名证书,在此之前仅支持提供单域名证书,因此新的子域名需要申请签发新的证书。而通常情况下一些域名下依附的 API 较多,每次改动子域名都是一套麻烦的操作,签发后再维护一大堆碎片化的证书实在是很令人头疼。 下面看一段Let's Encrpt 社区对 ACMEv2和域名证书的说法: ACMEv29.1kis an ...
Nginx安装免费https证书Let‘s Encrypt)申请与配置(一)
smallbirdnq的专栏
08-10 1736
Nginx安装免费https证书Let's Encrypt)申请与配置
Let‘s Encrypt域名验证过程详解——Let‘s Encrypt免费证书申请过程
禅与计算机程序设计艺术
08-28 1032
作者:禅与计算机程序设计艺术 1.简介 概要 Let's Encrypt是一个开放源代码的公共(非盈利)、自动化证书颁发机构(Certificate Authority)。该机构为互联网上的网站提供免费的SSL/TLS证书,其认证服务由一系列的ACME协议所定义
配置https服务器系列之三:windows服务器配置letsencrypt证书,多子域名配置
壁立千仞无欲则刚的博客
11-29 8991
之前写了一篇“配置https服务器系列之二:windows服务器配置letsencrypt证书”,后来发现配置多个子域名会有问题。说说之前的解决方案:简单粗暴的分多次操作分别生成多个证书。这其实也没问题,问题在于:每当操作一次,他的定时自动更新任务就会删除以前所有的任务,只保留最后那个任务。比如你先生成了yourdomain.com,然后生成www.yourdomain.com,最后只有www.y
certbot windows教程和运行制作域名证书
06-13
Certbot 是一个开源的工具,用于自动化安装和更新 SSL/TLS 证书。目前,Certbot 官方并不支持 Windows 操作系统。但是,有一些第三方开发者已经为 Windows 平台提供了一些替代方案。 以下是一个使用 Certbot 在 Windows 上运行制作域名证书的指南: 1. 安装 Certbot-ACME-Installer:这是一个基于 PowerShell 的脚本,可用于在 Windows 上自动安装和配置 Certbot。此脚本是由 Certbot 官方社区维护的,可以在 GitHub 上找到。在安装前请确保已经安装了 PowerShell 2.0 及以上版本。 2. 运行 Certbot-ACME-Installer:在 PowerShell 中执行以下命令,即可安装 Certbot: ``` Set-ExecutionPolicy Bypass -Scope Process -Force; ` iex ((New-Object System.Net.WebClient).DownloadString('https://dl.eff.org/certbot-auto.ps1')) ``` 安装完成后,会在 `C:\Program Files (x86)\Certbot` 目录下生成 Certbot 的可执行文件。 3. 生成域名证书:在 PowerShell 中执行以下命令,即可生成域名证书: ``` certbot-auto certonly --server https://acme-v02.api.letsencrypt.org/directory --manual --preferred-challenges dns-01 --email admin@example.com --agree-tos -d example.com -d *.example.com ``` 说明: - `certonly`:表示只生成证书,不进行安装。 - `--server https://acme-v02.api.letsencrypt.org/directory`:表示使用 Let's Encrypt 的 ACME v2 API。 - `--manual`:表示手动进行验证。 - `--preferred-challenges dns-01`:表示使用 DNS 验证方式。 - `--email admin@example.com`:表示管理员邮箱。 - `-d example.com -d *.example.com`:表示需要生成证书域名,其中 `example.com` 为主域名,`*.example.com` 为域名。 4. 验证域名:在运行以上命令后,Certbot 会提示您添加 DNS 记录。请按照提示,在您的 DNS 服务商中添加相应的 TXT 记录,以完成域名验证。 5. 下载证书:验证通过后,Certbot 会在 `C:\Program Files (x86)\Certbot\live\example.com` 目录下生成证书文件。您可以将 `cert.pem` 和 `privkey.pem` 文件下载到本地,以备后续使用。 需要注意的是,以上的指南并非 Certbot 官方支持的方案,使用时需要自行承担风险。在使用前请仔细阅读相关文档和指南,确保您的系统安全和稳定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值