使用Let's Encrypt 生成免费的ssl证书的详细过程 - 卡布奇洛_菠萝蜜

时间:2024-03-12 11:21:34

使用Let\'s Encrypt 生成免费的ssl证书的详细过程

参考连接:https://github.com/diafygi/acme-tiny

中文:https://hacpai.com/article/1487899289204

目前我了解可以生成免费证书的方法有两种:

方法一、阿里云购买免费的ssl证书

             特点:一个阿里云账户可以购买20个免费的ssl证书

                       每个有效期为1年

            步骤:注册一个阿里云账户,进入阿里云控制台,安全(云盾)--->CA证书服务(数据安全)---->购买证书--->选择   。。。。。。

             购买如下图:

         

 

方法二、使用Lets\'s Encrypt 

特点:安装简单,自动签发和管理证书

          对证书进行加密只能持续90天,所以需要经常更新它们。不过没关系,它是自动的!只需创建一个bash脚本并将其添加到crontab

          不支持内网服务器的域名,比如域名的解析地址为:192.168.x.x

  • 介绍

缺点:

        1.有效期为90天,过期得重新生成

         2.需要生成证书的域名,必须要在外网可以访问,解析到外网的

 

Let’s Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS,目前Facebook等大公司开始加入赞助行列。

Let’s Encrypt已经得了 IdenTrust 的交叉签名,这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任,你只需要在Web 服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let’s Encrypt安装简单,未来大规模采用可能性非常大。

Let’s Encrypt虽然还在测试当中,但是市场需求非常大,已经有非常多的朋友迫不及待地安装并用上了Let’s Encrypt。Let’s Encrypt向广大的网站提供免费SSL证书,不管是对于网站站长、互联网用户,还是对整个Web互联网,都是非常有利的,它有利于整个互联网的安全。

本篇文章主要作为记录,方便以后好查找资料,快速生成的免费SSL证书,并附上Apache和Nginx的SSL证书配置方法。

比如:我给域名: hongkong.devbei.cn 生成一个ssl证书

具体步骤

1.下载acme-tiny      https://github.com/diafygi/acme-tiny

   cd /mnt/home/webroot 

   git clone     https://github.com/diafygi/acme-tiny

2.创建用户私钥和域名私钥 

 cd acme-tiny

 mkdir ssl    #创建一个专门存放证书的目录,当然根据个人习惯而定

 cd ssl

openssl genrsa 4096 > account.key

openssl genrsa 4096 > hongkong.devbei.cn.key

3.生成域名 csr 文件

openssl req -new -sha256 -key hongkong.devbei.cn.key -subj "/CN=hongkong.devbei.cn" > hongkong.devbei.cn.csr

4.配置 web 站点的 challenge 文件 

mkdir -p /var/www/challenges/      #临时存放生成的字符串

#example for nginx
server {
 listen 80;
 server_name hongkong.devbei.cn;

 location /.well-known/acme-challenge/ {
 alias /var/www/challenges/;
 try_files $uri =404;
 }

 ...the rest of your config
}

5.获取签名证书

cd ../

[root@izj6c86xxp5p79vfwi838pz acme-tiny]# pwd 

/mnt/sort/acme-tiny

python acme_tiny.py --account-key ./ssl/account.key --csr ./ssl/hongkong.devbei.cn.csr --acme-dir /var/www/challenges/ > ./ssl/hongkong.devbei.cn.crt

 

6.证书生成好了之后,配置证书

 cd /mnt/sort/acme-tiny/ssl

   hongkong.devbei.cn.crt    

   hongkong.devbei.cn.key

 

nginx的配置

server {
    listen 443 ssl;
    server_name hongkong.devbao.cn;

    ssl_certificate ./certs/hongkong.devbei.cn.crt;
    ssl_certificate_key ./certs/hongkong.devbei.cn.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
    ssl_session_cache shared:SSL:50m;
    ssl_prefer_server_ciphers on;

    ........
 }

7.测试

https://hongkong.devbei.cn   #出现是绿色的说明完成啦