2. 程式人生 > >免費申請https網站ssl證書--支援萬用字元

免費申請https網站ssl證書--支援萬用字元

阿新 發佈:2019-01-28

眾所周知從某些公司購買HTTPS證書,一個域名每年都要幾千個大洋(不是一般的黑)。那麼有沒有免費,答案是有。現隆重推薦(Let’s Encrypt 免費證書
EEF 電子前哨基金會、 Mozilla 基金會和美國密歇根大學成立了一個公益組織叫 ISRG ( Internet Security Research Group ),這個組織從 2015 年開始推出了 Let’s Encrypt 免費證書。這個免費證書不僅免費,而且還相當好用,所以我們就可以利用 Let’s Encrypt 提供的免費證書部署 https 了。
Let’s Encrypt 證書除了免費,還支援域名萬用字元或泛域名。好東西必須分享,走起。

準備工作
安裝Certbot
以 centos7 為例

Certbot 的官方網站是 https://certbot.eff.org/ ,開啟這個連結選擇自己使用的 web server 和作業系統,EFF 官方會給出詳細的使用方法。

下載certbot


wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

注意:也可採用certbot官方 yum安裝方式

申請萬用字元域名

./certbot-auto certonly  -d *.example.com --manual --preferred-challenges dns --server https://acme-v02.api
 
.letsencrypt.org/directory

當然你也可以將多個泛域名,放到一個證書裡(親測可行),將example.com 換成你自己的域名。

./certbot-auto certonly  -d *.example.com  -d *.a.com  --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory

這裡我只用了一個泛域域名

執行以上命令得到如下
這裡寫圖片描述

依次 輸入 你的郵箱
再輸入“A” 同意,“Y” 開始
最後出現如下圖,此處先不動,很重要
這裡寫圖片描述

配置DNS
要求配置 DNS TXT 記錄,從而校驗域名所有權,也就是判斷證書申請者是否有域名的所有權。
給 _acme-challenge.example.com 配置一條 TXT 記錄.

測試txt記錄是否生效

$ dig  -t txt  _acme-challenge.example.com @8.8.8.8    

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;_acme-challenge.example.com.        IN      TXT

;; ANSWER SECTION:
_acme-challenge.example.com. 599 IN  TXT     "kd9kdjjXH8nYZ2unEViIbW52LhIqxkg6i9mcwsRvhQ"

確認生效後,回車執行,輸出如下:
這裡寫圖片描述

恭喜您,證書申請成功,證書和金鑰儲存在下列目錄:

ll  /etc/letsencrypt/live/example.com

lrwxrwxrwx 1 root root  35 Jun  1 14:43 cert.pem -> ../../archive/duiniya.com/cert1.pem
lrwxrwxrwx 1 root root  36 Jun  1 14:43 chain.pem -> ../../archive/duiniya.com/chain1.pem
lrwxrwxrwx 1 root root  40 Jun  1 14:43 fullchain.pem -> ../../archive/duiniya.com/fullchain1.pem
lrwxrwxrwx 1 root root  38 Jun  1 14:43 privkey.pem -> ../../archive/duiniya.com/privkey1.pem

然後校驗證書資訊,輸入如下命令:

openssl x509 -in  /etc/letsencrypt/archive/example.com/cert1.pem -noout -text

如果輸出中有

X509v3 Subject Alternative Name: 
    DNS:*.example.com

證明成功
也可以同過

./certbot-auto certificates

這裡寫圖片描述

配置Nginx

    server {  
           server_name  www.example.com;
           listen 443 http2 ssl;
           ssl on;
           ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
           ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
        #access_log  logs/host.access.log  main;
        root   /var/www/demo;
        location / {
            index  index.html index.htm index.php l.php;
           autoindex  off;

        }
        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #
        #location ~ \.php$ {
        #    proxy_pass   http://127.0.0.1;
        #}

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        location ~ \.php(.*)$  {
              fastcgi_pass 127.0.0.1:9000;
              fastcgi_index index.php;
              fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
              include fastcgi_params;
        }
    }

證書續期

一般Let’s Encrypt 證書有效期為3個月,如果想續期執行如下命令

./certbot-auto renew

如果嫌麻煩,可以寫到定時任務裡,每天執行一次。

crontab -e

0 0 * * * /root/tar/certbot-auto renew --renew-hook "systemctl reload nginx"

續期說明:只用renew的話,會先檢查證書是否需要更新,大概是距離到期還有三天或者十幾天之內才會執行更新,否則會提示不需要更新。(昨天更新了證書,今天直接用renew,提示不允許更新)
注意:人總有犯暈的時候,比如你沒有放開443埠,還想訪問HTTPS網站。
錯誤解決
如果執行續訂,出現
ReadTimeoutError: HTTPSConnectionPool(host=’files.pythonhosted.org’, port=443): Read timed out.
這個是pip下載國內站點超時或被限造成的,可通過配置pip.conf解決。

vim /root/.pip/pip.conf
#內容
[global]
timeout = 6000
index-url = http://e.pypi.python.org/simple
trusted-host = pypi.douban.com

相關推薦

免費申請https網站ssl證書--支援字元

眾所周知從某些公司購買HTTPS證書,一個域名每年都要幾千個大洋(不是一般的黑)。那麼有沒有免費,答案是有。現隆重推薦(Let’s Encrypt 免費證書) EEF 電子前哨基金會、 Mozilla 基金會和美國密歇根大學成立了一個公益組織叫 ISRG (

生成線上https證書支援字元和多域名,初學Let’s Encrypt用於IIS,純本地手動

線上一直用的騰訊雲的免費證書(每個域名都要一個證書(滑稽),今天線上用的萬用字元證書也搞定了,實現了一個證書包含多個域名(多個泛域名)。 今年(2018)年初Let’s Encrypt已開放了萬用字元證書的申請《Wildcard Certi

Delphi 支援字元刪除檔案!

procedure DeleteFileEx(FileName:string); var     FileDir:string;     FileStruct:TSHFileOpStruct; begin     FileDir   :=  FileName;// 'C:\

java執行Linux命令,支援字元(*)

java執行linux或者windows命令,這個需求比較常見。 但是若使用  Runtime.getRuntime().exec(cmd); 會發現,若cmd中含有萬用字元,則無法執行,如cp  /dira/*.txt /dirb 可用如下方式執行: String[]

一個簡單的模式字串查詢(支援字元‘*’)

資料結構課的一些作業還是有些難度的,對於部分有價值或下了苦工的問題還是傳上來好叻,回頭寫註釋,紀念菜雞生涯 【問題描述】 在當前目錄下的檔案string.in中查詢給定的字串,並將查詢到的字串和行號輸出到當前目錄下的檔案string.out中。要求: 1)從鍵

Let's Encrypt 免費字元 SSL 證書申請教程——但是也需要email,域名所有權等,如果是黑產的話會這樣嗎?會不會暴露自己身份???

Let's Encrypt 免費萬用字元 SSL 證書申請教程 from:https://blog.csdn.net/English0523/article/details/79608464 2018 年 3 月 14 日,Let’s Encrypt 對外宣佈 ACME v2 已正式支援萬用

Windows下Nginx配置支援HTTPS協議(已申請正式的SSL證書和私鑰的,前三步可以跳過)

以Windows 10系統為例。 一、安裝OpenSSL 然後安裝在C:\OpenSSL-Win64下。 然後配置環境變數。在系統環境變數中新增環境變數: 變數名:OPENSSL_HOME 變數值:C:\OpenSSL-Win64\bin; (變數值為OPEN

免費申請HTTPS字元證書

## 前言 在阿里雲買了一個域名giantliu.cn 部署了自己的部落格系統 [https://www.giantliu.cn/](https://www.giantliu.cn/) 所有用https證書是Let's Encrypt免費申請的 因為申請的免費證書有效期是3個月,今天正好原來的過期了 這裡要

Let's Encrypt免費通配符 SSL 證書申請教程

add 要求 驗證 oot 虛擬主機 錯誤 type deny filter 1.下載客戶端,設置可執行權限; # 下載 Certbot 客戶端 (Centos6以上 先安裝epel)$ wget https://dl.eff.org/certbot-auto # 設為可執

Let's Encrypt 免費通配符 SSL 證書申請教程——但是也需要email,域名所有權等,如果是黑產的話會這樣嗎?會不會暴露自己身份???

directory don source csdn ges challenge inter ear ack Let‘s Encrypt 免費通配符 SSL 證書申請教程 from:https://blog.csdn.net/English0523/article/detai

Let'sEncrypt 免費字元/泛域名SSL證書新增使用教程

Wildcard certificate俗稱野卡正式點一般稱為萬用字元或泛域名證書,也就是為*.lnmp.org 簽發包含所有子域名的SSL證書,從去年6、7月份左右就已經說過Let'sEncrypt將於2018年1月支援,但是幾次放鴿子後最近終於證書支援了。萬用字元證書一般還是比較貴的一般最便宜的萬用字元證

phpstudy整合環境Apache配置SSL證書支援https訪問

本文作者使用的整合環境為PHPstudy2018,具SSL證書獲得方法用多種這裡就贅述。只針對本文作者在阿里雲申請的免費SSL證書,做講解。 第一步:登入你的阿里雲帳號找到購買SSL證書,找不到的可以直接在阿里帳號上搜索。 如圖購買就行,無費用。 第二步:新增TXT域名解釋記錄值.

申請Let's Encrypt字元HTTPS證書

Let’s Encrypt 釋出的 ACME v2 現已正式支援萬用字元證書,接下來將為大家介紹怎樣申請,Let’s go. 注 本教程是在centos 7下操作的,其他Linux系統大同小異。 2018.03.15 20:48 更新了通過acme.sh方式獲取

獲取 Let's Encrypt 免費字元證書實現Https

說明 3月14日,Let's Encrypt的執行董事Josh Aas對外宣佈,他們的萬用字元證書正式上線,使用者可以基於此特性輕鬆部署/開啟所有子域名的HTTPS功能。 Let's Encrypt 是國外一個公共的免費SSL專案,由 Linux 基金會託管,它的來頭不小,由 Mozilla、思科、Akama

申請免費字元證書(Let's Encrypt)並繫結IIS

在沒有出現萬用字元證書之前,Let’s Encrypt 支援兩種證書。1)單域名證書:證書僅僅包含一個主機。2)SAN 證書:一張證書可以包括多個主機(Let’s Encrypt 限制是 20)證書包含的主機可以不是同一個註冊域,不要問我註冊域是什麼?註冊域就是向域名註冊商購買的域名。對於個人使用者來說,由於

申請Let's Encrypt字元SSL證書

開發十年,就只剩下這套架構體系了! >>>   

免費申請 HTTPS 證書,開啟全站 HTTPS

作者:HelloGitHub-追夢人物 文中涉及的示例程式碼,已同步更新到 HelloGitHub-Team 倉庫 HTTP 報文以明文形式傳輸,如果你的網站只支援 HTTP 協議,那麼就有可能遭受到安全攻擊。你可以使用 Google 瀏覽器開啟一個 HTTP 協議網站,會發現 Chrome 在網址的

python3 urllib.requesturlopen 一個httpsssl證書錯誤!

使用 就會 cert http ssl req pen urllib erro 不知道從那個版本起,python用urlopen打開一個https時會驗證一次 SSL 證書,當目標使用的是自簽名的證書時就會爆出一個 <urlopen error [SSL: CERT

HTTPS請求 SSL證書驗證

cer import failed blog kit urllib2 highlight www. header import urllib2 url = "https://www.12306.cn/mormhweb/" headers = {"User-Agent"

Https系列之二:httpsSSL證書在服務器端的部署,基於tomcat,spring boot

onf 基於 分享 height 轉化 自簽名 size class ont 一:本文的主要內容介紹 CA證書的下載及相應文件的介紹 CA證書在tomcat的部署 CA證書在spring boot的部署 自簽名證書的部署 二:一些內容的回顧 在Https系列之一中已介