Let's Encrypt SSL 泛域名证书申请和配置
nanshan 2024-12-22 19:56 14 浏览 0 评论
为了在网站上启用 HTTPS,我们需要从证书颁发机构(CA)申请 SSL 证书。Let’s Encrypt 是一个证书颁发机构,向 Let’s Encrypt 申请证书是免费的。Let's Encrypt 支持泛域名证书,不需要为每个子域名单独申请证书。本文以申请泛域名证书为例,详细介绍安装和配置 SSL 证书的过程。
目前常用的 Let's Encrypt 证书生成工具有 certbot、acme.sh、acme-tiny,本文使用的是 acme.sh。acme.sh 申请和安装泛域名 SSL 证书相对来说是比较方便的。
安装 acme.sh
安装过程需要服务器已安装 socat 模块,它是一个多功能的网络小工具。
dnf install socat -y
通过下面命令安装 acme.sh ,Email 用来接收重要重要通知,如证书快到期未更新会收到通知。
curl https://get.acme.sh | sh -s email=my@example.com
执行命令后几秒就安装好了,如果半天没有反应请 Ctrl+C 后重新执行命令。acme.sh 安装在 ~/.acme.sh 目录下,并自动创建了一个 cronjob,每天 0:00 点自动检测所有的证书,如果快过期了, 则会自动更新。
安装后,理论上会自动添加一个 acme.sh 全局应用别名,但有时候会 command not found,需要手动执行以下命令:source ~/.bashrc 或 source ~/.bash_profile,或关掉终端重新打开,然后再继续下一步。
生成证书
acme.sh 实现了 acme 协议支持的所有验证协议,一般有三种验证方式:HTTP 方式、手动 DNS 方式和 DNS API 方式。推荐使用 DNS API 方式。
HTTP 方式
HTTP 方式需要在你的网站根目录下放置一个文件, 来验证你的域名所有权以完成验证,然后就可以生成证书了。
acme.sh --issue -d example.com --webroot /path/to/example.com/
acme.sh 会自动的生成验证文件,并放到网站的根目录,然后自动完成验证,最后会自动删除验证文件。
如果你用的 Nginx 服务器,acme.sh 还可以智能的从 Nginx 的配置中自动完成验证,你不需要指定网站根目录。
acme.sh --issue -d example.com --nginx
注意,HTTP 验证方式不支持生成泛域名证书。
手动 DNS 方式
这种方式需要手动在域名上添加一条 TXT 解析记录,验证域名所有权。这种方式的好处是, 你不需要任何服务器,不需要任何公网 IP,只需要 DNS 的解析记录即可完成验证。
执行以下命令进行手动 DNS 验证:
acme.sh --issue -d example.com -d "*.example.com" --dns \
--yes-I-know-dns-manual-mode-enough-go-ahead-please
到 DNS 解析中,新增一条 TXT 记录,域名前缀为 _acme-challenge,记录值为终端输出的 TXT value 的值。然后再次执行:
acme.sh --renew -d example.com -d "*.example.com" \
--yes-I-know-dns-manual-mode-enough-go-ahead-please
注意:这种方式的坏处是,如果不同时配置 DNS API,将无法自动更新证书,每次都需要手动再次重新解析验证域名所有权。
DNS API 方式
自动 DNS 验证方式需要使用域名解析服务商的 DNS API,像腾讯云(DNSPos)和阿里云都提供 DNS API 功能。
如果你用的是腾讯云 DNSPod,在右上角头像下拉中选择“API 密钥”,点击“DNSPos Token”创建密钥:
如果你用的是阿里云,在右上角头像下拉中选择“AccessKey 管理”,创建密钥:
创建好密钥后,使用如下命令把它们的 Id 和 Token 或 Secret 放到环境变量中:
# 腾讯云
export DP_Id="YourId"
export DP_Key="YourToken"
# 阿里云
export Ali_Key="YourAccessKeyId"
export Ali_Secret="YourAccessKeySecret"
再通过下面命令生成证书:
# 腾讯云
acme.sh --issue --dns dns_dp -d example.com -d *.example.com
# 阿里云
acme.sh --issue --dns dns_ali -d example.com -d *.example.com
注意:这里第一个域名为顶级域名,后面一个为泛域名。这种方式将自动为你的域名添加一条 TXT 解析,验证成功后,这条解析记录会被删除,对你来说是无感的。
证书生成成功后,默认保存在 ~/.acme.sh/example.com/ 目录中。请不要直接使用 ~/.acme.sh/ 目录下的文件,这里面的文件都是内部使用的,而且目录结构可能会变化,我们需要把证书复制到需要用的地方去。
安装证书
在 ~/.acme.sh/example.com/ 目录生成的证书文件中,我们主要需要用到两个文件:fullchain.cer 和 example.com.key。下面以 Nginx 为例,来看看如何安装证书。
1) 创建通用 SSL 配置文件
在 /etc/ginx/ 目录下,创建一个为名 ssl-options.conf 的 SSL 通用配置文件,内容参考如下:
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
ssl_session_cache shared:le_nginx_SSL:10m;
ssl_session_timeout 1200m;
ssl_session_tickets on;
ssl_stapling on;
参数说明:
- ssl_protocols:加密协议;
- ssl_ciphers:加密算法;
- ssl_prefer_server_ciphers:服务端加密算法优先;
- ssl_session_cache:会话缓存;
- ssl_session_timeout:用户会话缓存失效时间,对安全性有高要求的站点需要降低该值;
- ssl_stapling:启用 OCSP 可减少用户验证证书的时间;
- ssl_session_tickets:为复用会话创建或加载 Ticket Key。
2) 生成 dhparam.pem
OpenSSL 的 dhparam 用于生成和管理 dh 文件。dh(Diffie-Hellman) 是著名的密钥交换协议,它可以保证通信双方安全地交换密钥。
使用如下命令生成一个 dhparam.pem 文件:
openssl dhparam -out /etc/nginx/dhparam.pem 2048
3) 为 Nginx 站点配置证书
先为网站的证书创建一个存放目录:
mkdir -p /etc/nginx/cert/example.com
目录中的文件我们后面通过脚本复制进来,这里先不管。
打开对应的 Nginx 站点配置文件,例如:/etc/nginx/conf.d/example.com.conf,参考编辑其内容如下:
# /etc/nginx/conf.d/example.com.conf
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
server_name example.com www.example.com;
server_tokens off; # 禁止在响应报文中包含Nginx版本信息
ssl_certificate /etc/nginx/cert/example.com/fullchain.cer;
ssl_certificate_key /etc/nginx/cert/example.com/example.com.key;
include /etc/nginx/ssl-options.conf;
ssl_dhparam /etc/nginx/dhparam.pem;
if ($host != 'example.com' ) {
return 301 https://example.com$request_uri;
}
location / {
proxy_pass http://127.0.0.1:3000;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection keep-alive;
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
4) 安装和自动更新证书
不要直接复制证书到目标目录,正确的方式是使用 -install-cert 命令安装。在命令中指定目标位置,证书文件会被复制到相应的位置。并且,可以指定 reloadcmd 命令,当证书更新以后,reloadcmd 命令会被自动调用,让新的配置生效。
执行如下安装命令完成证书安装:
acme.sh --install-cert -d example.com \
--key-file /etc/nginx/cert/example.com/example.com.key \
--fullchain-file /etc/nginx/cert/example.com/fullchain.cer \
--reloadcmd "systemctl force-reload nginx"
这里指定的所有参数都会被自动记录下来,并在将来证书自动更新以后, 被再次自动调用。证书在到期之前会自动更新,你无需任何操作。
更新 acme.sh
目前由于 acme 协议和 Let's Encrypt CA 都在频繁的更新,因此 acme.sh 也经常更新以保持同步。
手动升级 acme.sh 到最新版:
acme.sh --upgrade
如果你不想手动升级,可以开启自动升级:
acme.sh --upgrade --auto-upgrade
你也可以随时关闭自动更新:
acme.sh --upgrade --auto-upgrade 0
参考
acme.sh 官方文档:
https://github.com/acmesh-official/acme.sh/wiki
相关推荐
- 人人视频崩了怎么回事 人人视频下架了吗为什么刷不出来了
-
[海峡网]人人视频挂了吗下架了吗人人视频崩了怎么回事刷不出来了?人人视频发生了什么?怎么都看不成了,暂时还是永久?本来还以为是手机的问题,原来是客户端崩了难怪一直显示服务器异常!追着的美剧突然都下架...
- 502 bad gateway怎么解决?(502 bad gatewaynginxundefined)
-
相信许多小伙伴都遇到打开的网页提示502badgateway,502badgateway是提示用户该网址的网关错误,Web服务器作为网关或代理服务器时收到无效的响应,不管怎么刷新怎么重新输入地...
- 2岁男童眼睛被滴入强酸药水,医生亲身“试”药吓坏了……
-
平日里,小孩子爱玩爱闹是常事儿,但是大人的注意力如果时不时的掉线可就麻烦了。这一天,杭师大附院眼科陈舒主任医师像往常一样在接诊病人,然而一个孩子的哭闹声引起了她的注意,一群人神情焦灼,簇拥着一个孩子急...
- 3岁男童误将502胶当滴眼液,幸好妈妈及时处理,医生也为她点赞
-
小孩子由于心智还不够成熟,因此往往会做出一些危险的事情,甚至对自己造成伤害,这就需要家长的监督和保护。巧也不巧,日常生活中能够对孩子造成威胁的东西实在是太多了,堪称数不胜数,水笔、筷子、桌角,甚至刚拖...
- 5岁娃把502胶当眼药水滴眼中,爸爸的做法很机智,医生都称赞
-
文|哑铃妈妈家里有小孩子的一定要注意,在我们的家里存在很多的安全隐患,有的时候连家长都想不到的东西,竟然对孩子带来了伤害。5岁娃把502胶当眼药水滴眼中,爸爸的做法很机智,医生都点赞女孩乐乐长得可爱,...
- 宝宝误食502胶水,连忙送医救治,医生却夸宝妈做得好
-
有了孩子之后,妈妈都会变得神经敏感,生怕自己没有把孩子照顾好,但是毕竟一个人的经历是有限的,再加上孩子要是会走路,会说话之后对宝妈来说更是一种挑战,危及可能无时无刻不存在,这不,因为宝妈一转身的功夫,...
- 记一次Netty「直接内存溢出」导致线上网关项目宕机排查过程
-
作为一名Java开发者,我们都知道Java进程是运行在Java虚拟机上的,而Java进程要想正常运行则需要向计算机申请内存,其中主要为Java对象实例所占用的堆(heap)内存(当然还有其他的也会占用...
- 刚刚,突然崩了!网易云音乐紧急回应
-
今天下午#网易云音乐崩了#登上微博热搜第一在社交平台上,不少网友反馈,网易云音乐疑似崩溃。网友晒出网页端出现“502BadGateway”的服务器错误,同时网易云音乐的移动应用程序也无法正常使用。...
- 常见状态码(常见的状态码)
-
一二三四五原则:(即一:消息系列;二:成功系列;三:重定向系列;四:请求错误系列;五:服务器端错误系列。301状态码是永久移动302是临时移动304如果请求头中带有If-None-Match...
- 8岁男孩眼睛溅入502胶水,妈妈一番操作结果粘得更紧了
-
家有小孩的爸妈们肯定会多留个心眼照看虽然生活中已经时刻留意可能造成伤害的物品但有时一不留神幼小的孩子就会做出让人担心的事↓↓↓家住深圳的辰辰(化名)今年8岁了3月31日他在家里做手工时想要用未开封的5...
- 3岁娃滴502胶水在眼睛疼的尖叫,宝妈急中生智,保住孩子眼睛
-
但还好宝妈急中生智,连忙将孩子带到水龙头处,用水给孩子冲洗了一下眼睛,还用大量的生理盐水来给孩子清洗眼球,之后又立马将孩子送往医院,最后孩子的眼睛也没有什么大碍,拿了点药就能顺利出院了。而502胶水这...
- 网易云音乐回应App崩了:故障已陆续修复,补偿7天会员
-
2024年8月19日下午,多名网友反馈称,网易云音乐服务器疑似出现故障,登录网易云音乐APP后发现,个性化推荐和搜索功能均无法使用,并收到“获取数据失败”的提示。此外,网易云音乐的网页端也显示502错...
- 又崩了!不少人直接傻眼:太离谱!(台湾人到大陆后傻眼)
-
造车新势力哪吒汽车再被推向舆论风口。5月4日,话题#曝哪吒汽车APP断网#冲上微博热搜App断网无法使用从5月2日开始,陆续有多位网友反映哪吒汽车App断网,App控车无法使用。哪吒汽车App目前出现...
- 男子误把502胶水当眼药水!千万别犯这种低级错误!
-
你敢相信吗?有人竟然误把五零二胶水当成了眼药水滴进眼睛里。这可不是什么玩笑话,而是近日发生在武汉的一起真实事件。一名男子因此导致眼角膜严重受损,不得不紧急就医。据武汉大学附属爱尔眼科医院报道,这名男子...
- 502入眼危机!这份急救指南请牢记(502进入眼中怎么办)
-
502入眼,真实案例触目惊心生活中,502胶水是常用的黏合剂,以其强力黏合性备受青睐。但它一旦进入眼睛,后果不堪设想,下面这些真实案例,足以让我们警醒。曾有这样一则新闻,一位4岁女童在家玩耍时...
你 发表评论:
欢迎- 一周热门
-
-
UOS服务器操作系统防火墙设置(uos20关闭防火墙)
-
极空间如何无损移机,新Z4 Pro又有哪些升级?极空间Z4 Pro深度体验
-
如何修复用户配置文件服务在 WINDOWS 上登录失败的问题
-
手机如何设置与显示准确时间的详细指南
-
如何在安装前及安装后修改黑群晖的Mac地址和Sn系列号
-
日本海上自卫队的军衔制度(日本海上自卫队的军衔制度是什么)
-
NAS:DS video/DS file/DS photo等群晖移动端APP远程访问的教程
-
爱折腾的特斯拉车主必看!手把手教你TESLAMATE的备份和恢复
-
10个免费文件中转服务站,分享文件简单方便,你知道几个?
-
FANUC 0i-TF数据备份方法(fanuc系统备份教程)
-
- 最近发表
- 标签列表
-
- linux 查询端口号 (58)
- docker映射容器目录到宿主机 (66)
- 杀端口 (60)
- yum更换阿里源 (62)
- internet explorer 增强的安全配置已启用 (65)
- linux自动挂载 (56)
- 禁用selinux (55)
- sysv-rc-conf (69)
- ubuntu防火墙状态查看 (64)
- windows server 2022激活密钥 (56)
- 无法与服务器建立安全连接是什么意思 (74)
- 443/80端口被占用怎么解决 (56)
- ping无法访问目标主机怎么解决 (58)
- fdatasync (59)
- 405 not allowed (56)
- 免备案虚拟主机zxhost (55)
- linux根据pid查看进程 (60)
- dhcp工具 (62)
- mysql 1045 (57)
- 宝塔远程工具 (56)
- ssh服务器拒绝了密码 请再试一次 (56)
- ubuntu卸载docker (56)
- linux查看nginx状态 (63)
- tomcat 乱码 (76)
- 2008r2激活序列号 (65)