还买啥ssl证书,certbot免费申请ssl信任证书自动续费

还买啥ssl证书,certbot免费申请ssl信任证书

还买啥ssl证书,certbot免费申请ssl信任证书

http通信协议的发展历经了1.0到2.0,再到https,从通信裸奔到通信加密,从ssl1024到ssl2048,越来越安全,越来越方便,但是在浏览器内部内置的受信任证书只要美国的几家公司,如果自己签名ssl证书,浏览器又会显示不信任,体验差,怎么办,买证书又太贵,还好公益组织为了普及https,免费申请发放证书,他就是certbot,今天我们来演示一下如何申请免费ssl受信任的证书。官网地址:https://certbot.eff.org/

一、服务器环境

操作系统:centos 6 x86_64

web容器:nginx

一、申请证书步骤

1、SSH进入服务器

通过具有sudo特权的用户SSH进入运行HTTP网站的服务器。

2、安装Certbot

在计算机上的命令行上运行这些命令以安装Certbot。

wget https://dl.eff.org/certbot-auto
sudo mv certbot-auto /usr/local/bin/certbot-auto
sudo chown root /usr/local/bin/certbot-auto
sudo chmod 0755 /usr/local/bin/certbot-auto

3、选择您想如何运行Certbot

3.1 自动安装证书到web容器虚拟主机上

这里要指定web容器,certbot默认支持haproxy、plesk、apache、nginx四种web容器,我们以nginx为例

sudo /usr/local/bin/certbot-auto --nginx

执行完后,会提示你输入您的电子邮箱,用于获得证书过期提醒及其他推送信息,还有证书域名及域名解析对应的主机目录,certbot会自动校验域名所有权,生成证书,修改配置文件,全自动执行。

3.2 手动生成证书,自己去配置证书路径

3.2.1 服务器上安装并运行了web容器,80端口已经占用了

sudo /usr/local/bin/certbot-auto certonly --webroot

这个会提示你在当前已经运行的web服务webroot目录下新建一个 /.well-known/acme-challenge文件用于验证服务器和域名指向的权限。验证通过后就会在/etc/letsencrypt/live/下新建一个域名对应的证书。

3.2.2 服务器上还没安装web容器,80端口未被占用

sudo /usr/local/bin/certbot-auto certonly --standalone

这样certbot会自己启动一个临时用于验证域名和主机管理权限的web服务,验证完后就会关闭,然后生成pem证书和key,这个时候自己配置就行了。4、设置证书过期自动续订

证书默认有效期三个月,如果需要自动续订,我们建议运行以下行,这会将cron作业添加到默认crontab中。

echo "0 0,12 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto renew -q" | sudo tee -a /etc/crontab > /dev/null

如果您需要停止网络服务器以运行Certbot,则需要在/ usr / local / bin / certbot-auto renew后添加--pre-hook和--post- hook标志,以停止并自动启动Web服务器。例如,如果您的Web服务器是HAProxy,则如下修改命令:

echo "0 0,12 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto renew -q --pre-hook 'service haproxy stop' --post-hook 'service haproxy start'" | sudo tee -a /etc/crontab > /dev/null

5、验证Certbot工作正常

请在浏览器中访问https://yourwebsite.com/并在URL栏中查找锁定图标。如果要检查是否已安装了最高级的安装,可以转到 https://www.ssllabs.com/ssltest/。

注意:如果要申请泛域名证书,还需要修改域名解析服务进行验证,具体可以看官网:https://certbot.eff.org/


{{collectdata}}

网友评论0