Lets Encrypt

最新推荐文章于 2024-07-20 14:42:34 发布
最新推荐文章于 2024-07-20 14:42:34 发布
阅读量1.4k 收藏
点赞数
分类专栏: nginx

概述

https://letsencrypt.org/

Let’s Encrypt 是国外一个公共的免费 SSL 项目,由 Linux 基金会托管,它的来头不小,由 Mozilla、思科、Akamai、IdenTrust 和 EFF 等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由 HTTP 过渡到 HTTPS,目前 Facebook 等大公司开始加入赞助行列。Let’s Encrypt 已经得了 IdenTrust 的交叉签名,这意味着其证书现在已经可以被 Mozilla、Google、Microsoft 和 Apple 等主流的浏览器所信任,你只需要在 Web 服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let’s Encrypt 安装简单,未来大规模采用可能性非常大。

Let’s Encrypt 的最大贡献是它的 ACME 协议,第一份全自动服务器身份验证协议,以及配套的基础设施和客户端。这是为了解决一直以来 HTTPS TLS X.509 PKI 信任模型,即证书权威(Certificate Authority, CA)模型缺陷的一个起步。

在客户端-服务器数据传输中,公私钥加密使得公钥可以明文传输而依然保密数据,但公钥本身是否属于服务器,或公钥与服务器是否同属一个身份,是无法简单验证的。证书权威模型通过引入事先信任的第三方,由第三方去验证这一点,并通过在服务器公钥上签名的方式来认证服务器。第三方的公钥则在事先就约定并离线准备好,以备访问时验证签名之用。这个第三方就称为证书权威,简称 CA。相应的,CA 验证过的公钥被称为证书。

问题是,如果服务器私钥泄露,CA 无法离线使对应的证书无效化,只能另外发布无效记录供客户端查询。也就是说,在私钥泄露到CA发布无效记录的窗口内,中间人可以肆意监控服-客之间的传输。如果中间人设法屏蔽了客户端对无效记录的访问,那么直到证书过期,中间人都可以进行监控。而由于当前CA验证和签发证书大多手动,证书有效期往往在一年到三年。

Let’s Encrypt 签发的证书有效期只有 90 天,甚至希望缩短到 60 天。有效期越短,泄密后可供监控的窗口就越短。为了支撑这么短的有效期,就必须自动化验证和签发。因为自动化了,长远而言,维护反而比手动申请再安装要简单。

自动化的好处还有:
- 子域名可以各自申请证书,不一定需要星号证书,进一步限制泄密的后果
- 由客户端生成证书,私钥不会暴露在互联网上,降低泄密概率

总之,强烈推荐站长和服务器平台用 Let’s Encrypt 向访客提供加密连接。这是域名认证未来的发展方向。

Certbot

电子前哨基金会(EFF)为 Let’s Encrypt 推出了客户端 Certbot。通过 Certbot,你可以自动部署 Let’s Encrypt 证书,以便为网站加上 HTTPS 支持。

https://certbot.eff.org/#centos6-nginx

安装

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
 
 
  • 1
  • 2

 
 
  • 1
  • 2

NGINX 配置

    location /.well-known {
        default_type "text/plain";
        root /var/www/html;
    }
 
 
  • 1
  • 2
  • 3
  • 4

 
 
  • 1
  • 2
  • 3
  • 4

获得证书

./certbot-auto certonly --webroot -w /var/www/cert -d 域名 -m 邮箱 --agree-tos
 
 
  • 1

 
 
  • 1

自动续期

./certbot-auto renew --quiet
 
 
  • 1

 
 
  • 1

NGINX SSL 配置

server {
    listen 80 default_server;
    server_name 域名;
    return 301 https://$server_name$request_uri;
}
server {
    listen 443 ssl;
    #listen [::]:443 ssl ipv6only=on;
    server_name 域名;
    ssl on;
    ssl_certificate fullchain.pem;
    ssl_certificate_key privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers "ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5";
    #ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
    keepalive_timeout    70;
    ssl_session_cache    shared:SSL:10m;
    ssl_session_timeout  10m;
    ssl_dhparam dhparam.pem;
    add_header Strict-Transport-Security max-age=63072000;
    add_header X-Frame-Options SAMEORIGIN;
    add_header X-Content-Type-Options nosniff;
    ...
}
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25

.eof.

雜貨鋪老闆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows Let's Encrypt工具
08-21
Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,靠谱!   3、Let's Encrypt安装部署简单、方便,目前Cpanel、Oneinstack等面板都已经集成了Let's Encrypt一键申请安装,简单! 4、Let's Encrypt证书有效期三个月,每三个月需要续签证书 see why 这个工具是Let's Encrypt证书在windows平台使用的。
letsencrypt-webfaction:用于WebFaction主机的LetsEncrypt实用程序客户端
02-20
LetsEncrypt WebFaction 用于WebFaction主机的LetsEncrypt实用程序客户端。WebFaction正在关闭。 可悲的是,Webfaction正关门大吉,并将在6月完全关闭。 我所有的站点都已迁移到Opalstack,并且我不再有测试问题的...
Let’s Encrypt申请证书流程(附带问题解决方式)
最新发布
liao3399084的博客
07-20 1594
区别OpenSSL定义Let’s Encrypt是一个由互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA)OpenSSL是一个强大的开源程序套件,主要用于提供加密功能,包括SSL/TLS协议的实现功能旨在通过自动化流程消除手动创建和安装SSL/TLS证书的复杂流程,推广万维网服务器的加密连接,并为安全网站提供免费的SSL/TLS证书提供加密库(libcrypto)和SSL/TLS库(libssl),支持多种加密算法和协议,可用于创建、管理SSL/TLS证书和私钥等。
Let‘s Encrypt
凉茶铺的博客
07-24 5557
Let'sEncrypt——是一个由非营利性组织互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA),简单的说,就是为网站提供免费的SSL/TLS证书。互联网安全研究小组(ISRG)ISRG是美国加利福尼亚州的一家公益公司,成立于2013年5月,第一个项目是Let'sEncrypt证书颁发机构。Let’sEncrypt使用ACME协议来验证您对给定域名的控制权并向您颁发证书。使用前提域名,它会生成指定域名的证书在域名指向的服务器上能访问https。...
Let‘s Encrypt免费安全证书的步骤及使用-基于centos9, 包括工具certbot安装及使用,获取apache、nginx、iis等服务器安全证书
zrc_xiaoguo的博客
12-07 7728
Certbot 是一个由 Electronic Frontier Foundation(EFF)支持的免费、开源的工具,用于自动化获取、部署和更新 HTTPS 证书。它是为了方便使用 Let's Encrypt 服务而开发的,允许用户在 Web 服务器上快速设置 SSL/TLS 加密连接。
Let's Encrypt
boolbo的博客
05-11 1226
以下是使用 Let's Encrypt 的过程: 获取客户端并执行 git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt ./letsencrypt-auto --agree-dev-preview --server \ https://acme-v01.api.letsencrypt.org/di
letsencrypt1.94
08-21
1. `letsencrypt.exe.config`:这是Let's Encrypt客户端(通常称为Certbot)的配置文件,其中包含了程序运行时的设置和参数。用户可以通过修改这个文件来定制证书申请、更新和管理的行为,例如设置自动续期的时间...
LetsEncrypt
02-12
2. 创建客户端:初始化ACME客户端,设置服务器地址(通常为https://acme-v02.api.letsencrypt.org/directory)。 3. 请求证书:使用客户端的`CreateOrderAsync`方法创建证书订单,指定要保护的域名。 4. 验证域名:...
letsencrypt-win-simple.v1.9.7
01-23
letsencrypt-win-simple.v1.9.7:在Windows上轻松获取和安装SSL证书》 在互联网安全领域,HTTPS协议已经成为了网站数据传输的标准,它通过SSL(Secure Sockets Layer)或其升级版TLS(Transport Layer Security)...
LetsEncrypt:用于生成通配符的C#层让我们加密SSL证书
02-05
LetsEncrypt.Client (.Net标准库-作为) LetsEncrypt.ConsoleApp (.Net核心控制台应用程序) LetsEncrypt.Client LetsEncrypt.Client是用于证书的客户端的简单,直接的C#实现。 库基于.NET Standard 2.1+ 。 ...
Let's Encrypt Windows认证客户端
12-11
Let's Encrypt Windows认证客户端。 Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起。 Let's Encrypt证书有效期三个月,每三个月需要续签证书。 Let's Encrypt注册主域名认证频率20个/周,同一域名重复认证 5次/周。
【https】Let‘s Encrypt && acme
dualvencsdn的博客
06-23 1692
目录Let's Encrypt介绍什么是Let's EncryptCA介绍证书解决的信任问题是什么数字签名数字证书证书怎么解决信任问题HTTPS,SSL,证书关系如何制作证书使用Let's证书 + Nginx搭建HTTPS服务器 利用 acme.sh 申请 Let's Encrypt 泛解析SSL证书Let's Encryptacme.sh安装 acme.sh获取API Token申请泛解析域名SSL证书查看证书关于证书续期【现状】Let’s Encrypt 是一家免费、开放、自动化的证书颁发机构(CA),
Let‘s Encrypt是啥?
展望、进击
04-16 965
在我们浏览网页、购物或进行网上银行交易时,安全是最重要的考虑因素之一。这正是为什么我们需要Let's Encrypt——一个革命性的免费证书颁发机构(CA),它使加密变得简单和无缝,让互联网成为一个更安全的地方🌍🔒
Let‘s Encrypt 使用
Blue summer的博客
07-29 1780
Let’sEncrypt是一个非盈利的自动证书颁发机构(CA),我们可以免费的从Let’sEncrypt获取自己网站域名的证书,只需要在我们的web主机上运行使用ACME协议的软件来获取Let’sEncrypt证书。
let‘s encrypt正式申请
weixin_43990157的博客
04-01 111
yum install snapd systemctl start snapd snap install core ln -s /var/lib/snapd/snap /snap snap install --classic certbot certbot certonly --nginx --nginx-server-root=/usr/local/nginx/conf certbot renew --dry-run
letsencrypt 教程
06-02
好的,以下是 Let's Encrypt SSL 证书申请及安装教程: 步骤1:安装 Certbot 工具 Certbot 是 Let’s Encrypt 官方推荐的一个 ACME 协议的客户端工具,可以帮助我们快速申请 SSL 证书。在使用 Certbot 申请 SSL 证书之前,我们需要先安装 Certbot 工具,可以使用以下命令: ``` sudo apt-get update sudo apt-get install certbot ``` 步骤2:申请 SSL 证书 申请 SSL 证书的命令如下: ``` sudo certbot certonly --webroot -w /var/www/html/ -d example.com -d www.example.com ``` 其中,`/var/www/html/` 是 Web 根目录所在的位置,而 `example.com` 和 `www.example.com` 分别是需要申请 SSL 证书的域名,可以根据实际情况修改。 执行该命令后,Certbot 将会自动验证您的域名,如果验证成功,将会生成 SSL 证书。证书文件存储在`/etc/letsencrypt/live/example.com/` 目录下。 步骤3:安装 SSL 证书 安装 SSL 证书的命令如下: ``` sudo a2enmod ssl sudo service apache2 restart sudo nano /etc/apache2/sites-available/default-ssl.conf ``` 在打开的 `default-ssl.conf` 文件中添加以下内容: ``` SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem ``` 其中,`example.com` 表示您的域名,可以根据实际情况修改。然后保存并关闭文件。 步骤4:启用 SSL 证书 启用 SSL 证书的命令如下: ``` sudo a2ensite default-ssl.conf sudo service apache2 reload ``` 现在,您的网站已经启用了 SSL 证书,可以通过 HTTPS 访问了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值