申请Let's Encrypt泛域名SSL证书

网站配置HTTPS是非常普遍的事情,Let's Encrypt 新推出了泛域名证书,申请一个,解决了需要申请一堆单域名的苦恼。

申请方法

本文相关内容参考自老左博客Tinywan

利用阿里云,DNSPOD API 自动验证签发证书

1.安装必要的软件包

yum update && yum install curl -y && yum install cron -y && yum install socat -y

2.安装acme.sh

curl https://get.acme.sh | sh

3.输入相关API
Aliyun:

export Ali_Key=""
export Ali_Secret=""

DNSPOD:

export DP_Id=""
export DP_Key=""

4.签发证书SSL
Aliyun:

~/.acme.sh/acme.sh --issue -d worthy.top -d *.worthy.top --dns dns_ali
~/.acme.sh/acme.sh --issue -d wasim.win -d *.wasim.win --dns dns_ali

DNSPOD:

~/.acme.sh/acme.sh --issue -d worthy.cc -d *.worthy.cc --dns dns_dp
~/.acme.sh/acme.sh --issue -d iworthy.cc -d *.iworthy.cc --dns dns_dp

5.等待配置完成即可,证书文件都被自动存放在/root/.acme.sh/对应的域名文件夹中。

手动解析申请

1.获取certbot-auto

# 下载
wget https://dl.eff.org/certbot-auto
  
# 设为可执行权限
chmod u+x certbot-auto

2.开始申请证书

sudo ./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory -d "*.tinywan.top" --manual --preferred-challenges dns-01 certonly

这步需要输入邮箱和相关确认

3.DNS解析 TXT
申请通配符证书是要经过DNS认证的,按照提示,前往域名后台添加对应的DNS TXT记录。

4.回车确认,等待完成。
配置证书存放在 /etc/letsencrypt/live/tinywan.top/ 里面了,执行 certbot-auto renew 就可以续期。

科普知识

HTTPS

HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司(Netscape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。

SSL

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

CA证书

CA 也拥有一个证书(内含公钥和私钥)。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。
证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X.509 国际标准。

Let's Encrypt

Let's Encrypt是一个于2015年三季度推出的数字证书认证机构,旨在以自动化流程消除手动创建和安装证书的复杂流程,并推广使万维网服务器的加密连接无所不在,为安全网站提供免费的SSL/TLS证书。
Let's Encrypt由互联网安全研究小组(缩写ISRG)提供服务。主要赞助商包括电子前哨基金会、Mozilla基金会、Akamai以及思科。2015年4月9日,ISRG与Linux基金会宣布合作。

相关链接

  1. An ACME Shell script: acme.sh

本文链接:

https://www.worthy.cc/352.html
1 + 7 =
快来做第一个评论的人吧~