• 获取 Let's Encrypt 免费通配符证书实现Https


    说明

    3月14日,Let's Encrypt的执行董事Josh Aas对外宣布,他们的通配符证书正式上线,用户可以基于此特性轻松部署/开启所有子域名的HTTPS功能。

    Let's Encrypt 是国外一个公共的免费SSL项目,由 Linux 基金会托管,它的来头不小,由 Mozilla、思科、Akamai、IdenTrust 和 EFF 等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由 HTTP 过渡到 HTTPS,目前 Facebook 等大公司开始加入赞助行列。

    Let's Encrypt 已经得了 IdenTrust 的交叉签名,这意味着其证书现在已经可以被 Mozilla、Google、Microsoft 和 Apple 等主流的浏览器所信任,用户只需要在 Web 服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let's Encrypt 安装简单,使用非常方便。

    http://www.infoq.com/cn/news/2018/03/lets-encrypt-wildcard-https

    获取证书生成工具 certbot

    wget https://dl.eff.org/certbot-auto
    chmod a+x certbot-auto
    

    获取证书

    ./certbot-auto certonly  -d 你的域名 -d *.你的域名 --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory
    

    上述有三个交互式的提示:

    是否同意 Let's Encrypt 协议要求
    询问是否对域名和机器(IP)进行绑定
    输入邮箱,给你发送一封验证邮件
    确认同意才能继续。

    继续查看命令行的输出,非常关键:

    -------------------------------------------------------------------------------
    Please deploy a DNS TXT record under the name
    _acme-challenge.xxx.cn with the following value:
    
    2_8KBE_jXH8nYZ2unEViIbW52LhIqxkg6i9mcwsRvhQ
    
    Before continuing, verify the record is deployed.
    -------------------------------------------------------------------------------
    Press Enter to Continue
    Waiting for verification...
    Cleaning up challenges 
    

    求给 _acme-challenge.xxx.cn 配置一条 TXT 记录,在没有确认 TXT 记录生效之前不要回车执行。

    然后输入下列命令确认 TXT 记录是否生效:

    $ dig  -t txt  _acme-challenge.xxx.cn @8.8.8.8    
    
    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 512
    ;; QUESTION SECTION:
    ;_acme-challenge.xxx.cn.        IN      TXT
    
    ;; ANSWER SECTION:
    _acme-challenge.xxx.cn. 599 IN  TXT     "2_8KBE_jXH8nYZ2unEViIbW52LhIqxkg6i9mcwsRvhQ"
    

    确认生效后,回车执行

    恭喜您,证书申请成功,证书和密钥保存在下列目录:

    $ tree /etc/letsencrypt/archive/xxx.cn 
    .
    ├── cert1.pem
    ├── chain1.pem
    ├── fullchain1.pem
    └── privkey1.pem
    

    证书更新

    证书有效期为三个月,到期之前需要更新证书,更新流程就是重新执行一遍上面的操作,新证书会在你申请证书的日期上加三个月。

  • 相关阅读:
    浅谈通信网络(五)——TCP层
    浅谈通信网络(四)——报文转发(IP/MAC)
    浅谈通信网络(三)——TCP/IP协议
    《linux内核设计与实现》阅读笔记-进程与调度
    深入理解计算机系统 BombLab 实验报告
    汇编语言十二
    汇编语言十一
    汇编语言实验十
    汇编语言实验九
    汇编语言实验七
  • 原文地址:https://www.cnblogs.com/stulzq/p/8628163.html
Copyright © 2020-2023  润新知