Certbot-免费的HTTPS证书

最新推荐文章于 2024-05-26 22:15:02 发布
最新推荐文章于 2024-05-26 22:15:02 发布
阅读量731 收藏 3
点赞数
分类专栏: Linux 运维 文章标签: https ssl ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44491927/article/details/117868552
版权

Certbot-免费的HTTPS证书

一般的 SSL 安全证书签发服务都需要付费,且价格昂贵,不过为了加快推广 https 的普及, EEF 电子前哨基金会、 Mozilla 基金会和美国密歇根大学成立了一个公益组织叫 ISRG ( Internet Security Research Group ),这个组织从 2015 年开始推出了 Let’s Encrypt 免费证书。这个免费证书不仅免费,而且还相当好用,所以我们就可以利用 Let’s Encrypt 提供的免费证书部署 https 了

一、Ubuntu16.04 安装certbot

官网

apt-get update
# 添加存储库。
add-apt-repository ppa:certbot/certbot 
# 如果出现 add-apt-repository: command not found 执行
apt-get install software-properties-common
# 按ENTER接受。然后,更新包列表以获取新存储库的包信息。
apt-get update
# 最后,apt-get安装Certbot的Nginx软件包。
apt-get install python-certbot-nginx

二、生成SSL证书

申请或续费都需要空闲80端口来做验证,这里如果nginx监听了80端口,一定要关掉

执行 certbot certonly --nginx

root@plumvill-prod1:~# certbot certonly --nginx
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): xxxxx@qq.com

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: xxxxxx.com
2: xxxxxx-test.club
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): xxxxxx.com
** Error - Invalid selection **

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: xxxxxx.com
2: xxxxxx-test.club
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for xxxxxx.com
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/xxxxxx.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/xxxxxx.com/privkey.pem
   Your cert will expire on 2021-09-06. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

 - We were unable to subscribe you the EFF mailing list because your
   e-mail address appears to be invalid. You can try again later by
   visiting https://act.eff.org.
root@plumvill-prod1:~#

生成的ssl证书文件存放在 /etc/letsencrypt/live/xxxxxx.com/

三、nginx配置

server{
    listen 443 ssl;
    # 域名,根据实际情况修改
    server_name xxxxx.com;
	# 公钥文件
    ssl_certificate /etc/letsencrypt/live/xxxxx.com/fullchain.pem;
    # 私钥文件
    ssl_certificate_key /etc/letsencrypt/live/xxxxx.com/privkey.pem;

    include /etc/letsencrypt/options-ssl-nginx.conf; 
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    location / {
        root   /data/project/motovill-admin/dist;
        index  index.html index.htm;
        try_files $uri $uri/ /index.html;

    }
}

四、自动续期(未测试)

1. 方式一

  1. 创建renew-cert.sh
#!/bin/bash
# 停止nginx
nginx -s stop

# 续签
certbot-auto renew --force-renew

# 重启nginx
nginx -s reload
  1. 给所有的用户添加执行 renew-cert.sh 这个文件的权限
chmod a+x renew-cert.sh
  1. 自动更新https证书`
0 4 1 */2 * /data/renew-cert.sh >/data/crontab.log 2>&1

2. 方式二

  1. 模拟自动续期,如果没问题,会重新生成证书
certbot renew --dry-run
  1. 模拟成功后,我们可以用linux中的定时任务命令 crontab 来进行自动续期
crontab -e
  1. 写入
30 3 * * * /usr/bin/certbot renew  >> /var/log/le-renew.log

五、添加新的域名

如果想要多个域名使用同一个ssl证书,可执行以下操作

# 会读取nginx 已使用的域名,并列出来
certbot certonly --nginx

root@plumvill-prod1:~# certbot certonly --nginx
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: xxxxxx.com
2: admin.xxxxxx.com
3: www.xxxxxx.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1 2 3

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
You have an existing certificate that contains a portion of the domains you
requested (ref: /etc/letsencrypt/renewal/xxxxxx.com.conf)

It contains these names: xxxxxx.com

You requested these names for the new certificate: xxxxxx.com,
admin.xxxxxx.com, www.xxxxxx.com.

Do you want to expand and replace this existing certificate with the new
certificate?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(E)xpand/(C)ancel: E
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for admin.xxxxxx.com
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/xxxxxx.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/xxxxxx.com/privkey.pem
   Your cert will expire on 2021-09-08. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

root@plumvill-prod1:/etc/letsencrypt/live# certbot certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:
  Certificate Name: xxxxxx.com
    Domains: xxxxxx.com admin.xxxxxx.com www.xxxxxx.com
    Expiry Date: 2021-09-08 06:27:10+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/xxxxxx.com/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/xxxxxx.com/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
我家兔子爱挑食
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自动更新网站SSL证书的方法记录
五角大寨
01-14 2454
Let’s Encrypt 是 一个叫 ISRGInternet Security Research Group ,互联网安全研究小组)的组织推出免费安全证书计划。参与这个计划的组织和公司可以说是互联网顶顶重要的先驱,除了前文提到的三个牛气哄哄的发起单位外,后来又有思科(全球网络设备制造商执牛耳者)、 Akamai 加入,甚至连 Linux 基金会也加入了合作,这些大牌组织的加入保证了这个项目的可信度和可持续性。
Let's Encrypt,免费好用的 HTTPS 证书
weixin_34217711的博客
12-23 125
#参考https://imququ.com/post/letsencrypt-certificate.html#####argparse安装#http://www.cnblogs.com/emanlee/p/4577249.html 很早之前我就在关注Let's Encrypt这个免费、自动化、开放的证书签发服务。它由 ISRGInternet Security Research Grou...
使用certbot申请免费HTTPS证书及自动续期
最新发布
weixin_43425561的博客
05-26 525
要申请免费HTTPS 证书,您可以使用 Let’s Encrypt 这样的证书颁发机构。Let’s Encrypt 证书的有效期为 90 天,因此您需要设置自动续期以确保证书不会过期。您可以使用 Certbot 的自动续期功能,或者设置一个定时任务来定期更新证书。运行此命令以获取证书,并让 Certbot 自动编辑您的 nginx 配置以提供证书,只需一步即可打开 HTTPS 访问。在计算机上的命令行上执行以下指令,以确保可以运行该命令。在计算机上的命令行上运行此命令以安装 Certbot
ssl证书申请及续签
xtgby的博客
02-23 311
ssl证书申请及续签
Certbot免费HTTPS证书
每天都要开心呀(#^.^#)
09-05 3770
CertbotLet’s Encrypt官方推荐的获取证书的客户端,可以帮我们获取免费Let’s Encrypt 证书Certbot 是支持所有 Unix 内核的操作系统的
在CentOS6,CentOS7安装 Let'sEncrypt 免费SSL安全证书
aaa2008159的博客
06-29 463
相对来说,个人网站建立SSL是昂贵的,而且往往过程繁琐。一个标准的2048位证书费用至少150美元/,网站除了要支付一笔昂贵的费用、重新配置Web服务器,并需要解决大量的配置错误。这让广大中小网站望而生畏。 然而,Let's Encrypt免费证书的开放,极大推进了国内 HTTPS 的进程。Let's Encrypt 真正的意义在于,它推动了 HTTPS 在小型网站和个人网站中的应用...
Certbot实现 HTTPS 免费证书(Let‘s Encrypt)自动续期
小小明-代码实体的专栏
12-12 4936
以前阿里云支持申请一免费https证书,那每我们手动更新证书并没什么大问题,但现在阿里云的免费证书仅支持3个月,这意味着每三个月都要要申请一下证书显得非常麻烦。下面我们使用Certbot实现ssl证书的自动更新,这次我在Centos8的Nginx上进行演示如何配置SSL证书
certbot-dns-aliyun:certbot dns插件,可使用阿里云获取证书
05-04
适用于Certbot的Aliyun DNS Authenticator插件certbot dns插件,用于使用阿里云获取证书。获取阿里云RAM AccessKey 并确保您的RAM帐户具有AliyunDNSFullAccess权限。安装pip install certbot-dns-aliyun 对于快照: ...
certbot-dns-aliyun:阿里云DNS的certbot插件,使用解决阿里云DNS不能自动为通配符证书续期的问题
03-03
certbot-dns-aliyun解决阿里云DNS不能自动为通配符证书续期的问题原理每个certbot申请的证书有效期为3个月,虽然certbot提供了贴心的自动续期命令,但是当我们把自己续期命令配置为定时时,我们需要手动添加TXT记录...
certbot-beta-installer-win32.exe
06-17
Let’s Encrypt是一个 CA 机构,签发证书不需要任何费用.Certbot证书生成工具,通过使用Certbot可以实现证书申请和自动续签。certbot-beta-installer-win32.exe是windows平台下的certbot安装程序。
Certbot-windows版本
05-13
https证书生成
ISRG_Root_X1_Installer:用于安装ISRG Root X1证书的帮助程序。 无根
02-09
ISRG_Root_X1_Installer:用于安装ISRG Root X1证书的帮助程序。 无根
certbot-master.zip
03-29
`Certbot` 是一个自动化工具,由 Let's Encrypt 提供,用于获取和安装免费SSL/TLS 证书,从而实现网站的安全加密。Let's Encrypt 是一个非营利组织,致力于使互联网更加安全,它提供了免费证书,通过自动化流程...
SSL】用Certbot生成免费HTTPS证书
michaelwoshi的博客
09-29 2228
Certbot生成免费HTTPS证书
在windows Server安装Let‘s Encrypt的SSL证书
bigcarp的专栏
11-20 1465
打开 PowerShell 窗口(以管理员身份运行)。你可以在开始菜单中找到 PowerShell,右键点击并选择“以管理员身份运行”。然后根据提示1输入邮箱、2同意协议、3拒绝推广邮件、4输入域名。如果提示失败,通常是防火墙问题。正常的话,会提示接收成功,已经保存到xx目录。2、安装客户端(全部默认安装即可))下载 certbot客户端。3、暂停IIS中的网站。
Certbot申请证书及问题解决
m0_65591847的博客
02-14 2529
本文总结服务器使用certbot申请https证书的详细全过程,并对申请过程中的各种问题进行总结。一文完成申请https
let‘s encrypt免费https证书certbot
qq_39168874的博客
09-23 3957
let's encrypt免费https证书certbot)准备工作访问let's encrypt官网具体配置步骤第一步,以具有 sudo 权限的用户身份通过​​ SSH 连接到运行您的 HTTP 网站的服务器第二步,安装 snapd第三步,确保您的 snapd 版本是最新的第四步,删除 certbot-auto 和任何 Certbot OS 包第五步,安装证书第六步,设置Certbot软链接第七步,生成证书第八步,测试自动续期第九步,配置nginx 准备工作 centos服务器 nginx部署站点
快速配置Let's encrypt通配符证书
owenzhang的博客
10-21 1500
本文已参与「掘力星计划」,赢取创作大礼包,挑战创作激励金。 利用certbot工具配置Let’s encrypt通配符证书,所域名下所有的子域名都能方便的使用 https证书,而且完全免费。值得关注的是,Let’s encrypt通配符证书只是针对二级域名,并不能针对主域名,如*.hubinqiang.com和hubinqiang.com 被认为是两个域名,如果和我一样使用的是主域名,在申请...
使用certbot续期ssl证书renew时遇到问题
热门推荐
qq_19868745的博客
05-24 2万+
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://blog.csdn.net/qq_19868745/article/details/72677709 遇到的问题如下:IMPORTANT NOTES:  - The following errors were reported by the server:    
certbot-auto
09-26
certbot-auto是一个工具,用于获取和安装HTTPS/TLS/SSL证书。默认情况下,它会尝试为本地网页服务器获取并安装证书。你可以使用不同的子命令和选项来获取、安装、更新证书,例如使用"run"子命令来获取并安装证书到当前网页服务器,使用"certonly"子命令来获取或更新证书但不安装,使用"renew"子命令来更新已经获取但快过期的所有证书等。你还可以通过指定域名列表、使用不同的插件(如Apache、Nginx)、将身份认证文件放置在服务器的网页根目录下等方式来定制证书的获取和安装过程。 如果你想使用certbot-auto,你可以按照以下步骤下载和安装它: 1. 使用以下命令下载certbot-auto: ``` wget https://dl.eff.org/certbot-auto ``` 2. 使用以下命令给certbot-auto添加可执行权限: ``` chmod +x certbot-auto ``` 3. 使用以下命令将certbot-auto移动到/usr/local/bin目录下: ``` mv certbot-auto /usr/local/bin/ ``` 安装完nginx后,你可以执行certbot-auto来生成证书。在执行过程中,你需要提供一些确认信息和邮箱。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值