2. 程式人生 > >教你如何在let's encrypt申請免費證書---開啟網站的https之路

教你如何在let's encrypt申請免費證書---開啟網站的https之路

阿新 發佈:2017-08-05
免費證書 acme.sh nginx

最近谷歌和火狐封殺了國內大部分的CA機構,導致使用國內CA辦法的證書在chrome瀏覽器顯示為不安全的網站,國外的證書又比較貴,發現了一款開源免費的證書機構let‘s encrypt

是由Mozilla、Cisco、Akamai、IdenTrust、EFF等組織人員發起,比較有權威性,下面的例子是nginx

實例上的部署安裝過程。


1. 安裝客戶端腳本


curl https://get.acme.sh | sh

安裝完成後會自動在計劃任務中增加一條任務自動更新證書,自動申請 因為證書有效期應該是90天

需要自動續簽

44 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null


配置域名的80端口,使let‘s encrypt可以驗證域名所在的服務器屬於你管理


server {

listen 80;

server_name app.lhz.cc;

location ^~ /.well-known/acme-challenge/ {

alias /var/www/challenges/.well-known/acme-challenge/;

}

location /{

rewrite ^(.*)$ https://app.lhz.cc permanent;

}

access_log /var/log/nginx/emmaapp80.log main;

}




2. 生成證書key等


/root/.acme.sh/acme.sh --issue -d app.lhz.cc -w /var/www/challenges/

[Fri Aug 4 15:58:13 CST 2017] Registering account

[Fri Aug 4 15:58:15 CST 2017] Registered

[Fri Aug 4 15:58:16 CST 2017] Update account tos info success.

[Fri Aug 4 15:58:16 CST 2017] ACCOUNT_THUMBPRINT=‘Kzgy....sG9.......KxZOhj_PWj0U‘

[Fri Aug 4 15:58:16 CST 2017] Creating domain key

[Fri Aug 4 15:58:16 CST 2017] The domain key is here: /root/.acme.sh/app.lhz.cc/app.lhz.cc.key

[Fri Aug 4 15:58:16 CST 2017] Single domain=‘app.lhz.cc‘

[Fri Aug 4 15:58:16 CST 2017] Getting domain auth token for each domain

[Fri Aug 4 15:58:16 CST 2017] Getting webroot for domain=‘app.lhz.cc‘

[Fri Aug 4 15:58:16 CST 2017] Getting new-authz for domain=‘app.lhz.cc‘

[Fri Aug 4 15:58:18 CST 2017] The new-authz request is ok.

[Fri Aug 4 15:58:18 CST 2017] Verifying:app.lhz.cc

[Fri Aug 4 15:58:23 CST 2017] Success

[Fri Aug 4 15:58:23 CST 2017] Verify finished, start to sign.

[Fri Aug 4 15:58:25 CST 2017] Cert success.

-----BEGIN CERTIFICATE-----

MIIE9zCCA9+gAwIBAgISBKXWtHLEJcIiJT9O9+FllCgFMA0GCSqGSIb3DQEBCwUA

ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xNzA4MDQwNjU4MDBaFw0x

NzExMDIwNjU4MDBaMBUxEzARBgNVBAMTCmFwcC5yaWQuY2MwggEiMA0GCSqGSIb3

DQEBAQUAA4IBDwAwggEKAoIBAQDwMUoaFCycC9kzad96XAeh/5aUhx5a4U3m5DFl

此處省略1萬字..............................................................................................................................

Y8XoJMDKrmNK427ZkUjhe7yZcSxQai7pQEII

-----END CERTIFICATE-----

[Fri Aug 4 15:58:25 CST 2017] Your cert is in /root/.acme.sh/app.lhz.cc/app.lhz.cc.cer

[Fri Aug 4 15:58:25 CST 2017] Your cert key is in /root/.acme.sh/app.lhz.cc/app.lhz.cc.key

[Fri Aug 4 15:58:25 CST 2017] The intermediate CA cert is in /root/.acme.sh/app.lhz.cc/ca.cer

[Fri Aug 4 15:58:25 CST 2017] And the full chain certs is there: /root/.acme.sh/app.lhz.cc/fullchain.cer


3. 安裝證書到nginx配置中指定位置,命令執行完成之後,會將下面的路徑文件名稱都會記錄下來,方便自動更新證書


acme.sh --installcert -d app.lhz.cc \

> --keypath /usr/local/nginx-1.8/conf/ssl/app_lhz_cc.key \

> --fullchainpath /usr/local/nginx-1.8/conf/ssl/app_lhz_cc.crt \

> --reloadcmd "/usr/local/nginx-1.8/sbin/nginx -s reload"

[Fri Aug 4 16:31:40 CST 2017] Installing key to:/usr/local/nginx-1.8/conf/ssl/app_lhz_cc.key

[Fri Aug 4 16:31:40 CST 2017] Installing full chain to:/usr/local/nginx-1.8/conf/ssl/app_lhz_cc.crt

[Fri Aug 4 16:31:40 CST 2017] Run reload cmd: /usr/local/nginx-1.8/sbin/nginx -s reload

[Fri Aug 4 16:31:40 CST 2017] Reload success


4.生成dhparam

openssl dhparam -out /root/.acme.sh/app.lhz.cc/dhparam.pem 2048



5. 證書在Nginx中的配置


server {

listen 443;

server_name app.lhz.cc;


ssl on;

#配置生成的證書

ssl_certificate /usr/local/nginx-1.8/conf/ssl/app_lhz_cc.crt;

ssl_certificate_key /usr/local/nginx-1.8/conf/ssl/app_rid_cc.key;

ssl_dhparam /usr/local/nginx-1.8/conf/ssl/dhparam.pem;


ssl_session_cache shared:SSL:10m;

ssl_session_timeout 10m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

ssl_prefer_server_ciphers on;

error_page 497 "https://$host$uri?$args";



location / {

proxy_pass http://app80_server_pool;

proxy_set_header Host app.lhz.cc;

proxy_set_header X-Forwarded-For $remote_addr;

proxy_set_header X-Forwarded-Proto https;

}


access_log /var/log/nginx/app.log main;

}

本文出自 “影子騎士” 博客,請務必保留此出處http://andylhz2009.blog.51cto.com/728703/1953665

教你如何在let's encrypt申請免費證書---開啟網站的https之路

相關推薦

如何在let's encrypt申請免費證書---開啟網站https

免費證書 acme.sh nginx 最近谷歌和火狐封殺了國內大部分的CA機構,導致使用國內CA辦法的證書在chrome瀏覽器顯示為不安全的網站,國外的證書又比較貴,發現了一款開源免費的證書機構let‘s encrypt, 是由Mozilla、Cisco、Akamai、IdenTrust、EFF等組

基於 Let's Encrypt免費證書, 實現apache,nginx的https加密服務

目前web傳送加密,通用的加密方法是使用https,https需要證書,證書分免費和收費2種,參考文章 https://www.aliyun.com/product/cas?utm_content=se_1513054   支援域名

基於Let's Encrypt生成免費證書-支援多域名泛域名證書

[TOC] Let’s Encrypt是一個由非營利性組織網際網路安全研究小組(ISRG)提供的免費、自動化和開放的證書頒發機構(CA)。 簡單的說,藉助Let’s Encrypt頒發的證書可以為我們的網站免費啟用HTTPS(SSL/TLS) - https://letsencrypt.org/zh-cn

實戰申請Let's Encrypt永久免費SSL證書過程教程及常見問題

min 更換 post .org cnblogs centos let 解決方案 目錄 Let‘s Encrypt免費SSL證書的出現,也會對傳統提供付費SSL證書服務的商家有不小的打擊。到目前為止,Let‘s Encrypt獲得IdenTrust交叉簽名

網站實現https 申請Let's Encrypt永久免費SSL證書

Let's Encrypt簡介 Let's Encrypt作為一個公共且免費SSL的專案逐漸被廣大使用者傳播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等組織人員發起,主要的目的也是為了推進網站從HTTP向HTTPS過度的程序,目前已經有越來越多的商家加

let's encrypt生成免費https證書 ubuntu+tomcat+nginx+let's encrypt

http important 免費https pri perm apt repo www. add 1. 下載let‘s encrypt $ sudo add-apt-repository ppa:certbot/certbot $ sudo apt-get update

Let's encrypt申請泛域名證書

1、下載工具 wget https://dl.eff.org/certbot-auto chmod a+x ./certbot-auto   2、初始化 ./certbot-auto   3、獲取證書(1) ./certbot-auto certonly --manual

docker獲取Let's Encrypt永久免費SSL證書

一 起因 官方的cerbot太煩了,不建議使用 還不如野蠻生長的acme.sh,而這裡介紹docker執行cerbot獲取Let's Encrypt永久免費SSL證書 二 選型 cerbot的證書不會自動重新整理日期,但是acme.sh自帶這功能,每天凌晨0:00自動檢測過期域名並且自動續期 選擇docker

使用Let's Encrypt+tomcat實現http升級為https

轉載自https://blog.csdn.net/lyq8479/article/details/79022888,在實踐中將自己遇到的問題,也一併列出,方便後面的人少走彎路,我的伺服器是centos tomcat 是7.0.57版本的,事實證明也是可以的 近幾年,在瀏覽器廠商的強力推動

申請Let's Encrypt免費SSL證書

temporary 免費ssl證書 security subset via dev rep sco vision 沃通及期收購的startssl被封,用不了,只能申請Let‘s Encrypt免費證書,我就不科普了,免費是免費,時效只有3個月,就得更新,就是這樣,喵 到下面

windows server2008R2申請免費let's encrypt證書

lets encrypt powershell windows https Let’s Encrypt 項目(https://letsencrypt.org/)是由互聯網安全研究小組ISRG,Internet Security Research Group主導並開發的一個新型數字證書認證機構C

Let's Encrypt免費通配符 SSL 證書申請教程

add 要求 驗證 oot 虛擬主機 錯誤 type deny filter 1.下載客戶端,設置可執行權限; # 下載 Certbot 客戶端 (Centos6以上 先安裝epel)$ wget https://dl.eff.org/certbot-auto # 設為可執

免費證書申請——Let's Encrypt申請與應用(IIS,Tomcat)

ram 郵箱 href exe java ide 服務 選擇 src 環境 Windows Server 2008 R2 Tomcat 8.5.31 JDK8 利用IIS+letsencrypt-win-simple.V1.9.1申請免費SSL證書 新建一個IIS空網

申請免費通配符證書(Let's Encrypt)並綁定IIS(轉載)

uri ges 阿裏雲 子域名 4.3 交互 epo 圖片 但是 本文轉載自https://blog.csdn.net/qq_41608008/article/details/80491447 什麽是 Let’s Encrypt? 部署 HTTPS 網站的時候需要證書,

Let's Encrypt 免費萬用字元 SSL 證書申請教程——但是也需要email,域名所有權等,如果是黑產用的話會這樣用嗎?會不會暴露自己身份???

Let's Encrypt 免費萬用字元 SSL 證書申請教程 from:https://blog.csdn.net/English0523/article/details/79608464 2018 年 3 月 14 日,Let’s Encrypt 對外宣佈 ACME v2 已正式支援萬用

Let's Encrypt 免費通配符 SSL 證書申請教程——但是也需要email,域名所有權等,如果是黑產用的話會這樣用嗎?會不會暴露自己身份???

directory don source csdn ges challenge inter ear ack Let‘s Encrypt 免費通配符 SSL 證書申請教程 from:https://blog.csdn.net/English0523/article/detai

申請Let's Encrypt泛域名免費證書(無需域名80埠)

    1、前言 最近有個外網域名需要申請證書,準備用Let's Encrypt證書,畢竟免費嗎。可惜指令碼中會驗證域名的80埠,很不幸80埠因為某些原因無法開放,後來無意中發現一個方法,結合Neilpang/acme.sh和泛域名,這裡記錄下。  

centos+nginx申請Let's Encrypt 通配符HTTPS證書

郵箱 bubuko 操作系統 tro dom 分享 txt cell all   Let‘s Encrypt 宣布 ACME v2 正式支持通配符證書,並將繼續清除 Web 上采用 HTTPS 的障礙,讓每個網站輕松獲取管理證書。消息一出,馬上就有熱心用戶分享出了 Let‘

Let's Encrypt 通配符證書申請

通配符 dir chmod rto api -c RM director 有效 1.獲取certbot-auto wget https://dl.eff.org/certbot-auto 2.添加執行權限 chmod u+x certbot-auto 3.申請證書 sudo

windows server 服務器添加免費域名證書的方法(Let's Encrypt)

sha 運行 acm 技術分享 解壓 pub 最新版本 png info 在 windows server 服務器上可以通過 win-acme工具添加ssl 1、首先下載工具 https://github.com/PKISharp/win-acme/releases 最新