第1步:生成私鑰 執行如下命令生成一個RSA私鑰
//生成rsa私鑰��,des3算法����,1024位強度,ssl.key是秘鑰文件名��。 openssl genrsa -des3 -out ssl.key 1024 然后他會要求你輸入這個key文件的密碼����,由你隨便設置。
openssl rsa -in ssl.key -out ssl.key 第2步:生成CSR(證書簽名請求) 根據剛剛生成的key文件來生成證書請求文件,操作如下:
openssl req -new -key ssl.key -out ssl.csr 說明:執行以上命令后����,需要依次輸入國家����、地區��、城市����、組織��、組織單位�����、Common Name和Email����。其中Common Name應該與域名保持一致。
Country Name (2 letter code) [AU]:CN State or Province Name (full name) [Some-State]:GuangDong Locality Name (eg, city) []:ShenZhen Organization Name (eg, company) [Internet Widgits Pty Ltd]:tsy Organizational Unit Name (eg, section) []:tsy Common Name (e.g. server FQDN or YOUR name) []:selfssl.hxkj.vip 這一項必須和你的域名一致 Email Address []:t@tsy6.com 第3步:生成自簽名證書 根據以上2個文件生成crt證書文件�����,執行下面命令:
//這里3650是證書有效期(單位:天)�����。這個大家隨意。最后使用到的文件是key和crt文件����。 openssl x509 -req -days 3650 -in ssl.csr -signkey ssl.key -out ssl.crt 需要注意的是,在使用自簽名的臨時證書時��,瀏覽器會提示證書的頒發機構是未知的��。
第4步:安裝私鑰和證書 打開conf目錄中的nginx.conf配置文件修改443端口監聽配置�����。一般nginx配置文件默認路徑為 /etc/nginx/nginx.conf�����,執行如下命令打開并修改:
vim /etc/nginx/nginx.conf//路徑是你的nginx配置文件路徑 Nginx默認配置是將443端口的監聽配置注釋掉了的��,如下:
# Settings for a TLS enabled server. #server { #listen 443; #server_namelocalhost; #ssl on; #root /usr/share/nginx/html;#ssl_certificate ""; #ssl_certificate_key ""; #ssl_session_cache shared:SSL:1m; #ssl_session_timeout5m; #ssl_protocols SSLv2 SSLv3 TLSv1; #ssl_ciphers HIGH:!aNULL:!MD5; #ssl_prefer_server_ciphers on; # # Load configuration files for the default server block. #include /etc/nginx/default.d/*.conf; # #location / { #} # #error_page 404 /404.html; #location = /40x.html { #} # #error_page 500 502 503 504 /50x.html; #location = /50x.html { #} #} 將注釋打開�����,并對其中部分內容進行修改,修改后如下:
# Settings for a TLS enabled server. server { listen 443; server_nameselfssl.hxkj.vip;//此處填寫你自己的域名 ssl on; root /usr/share/nginx/html;ssl_certificate "/home/ssl/ssl.crt"; //此處填寫剛剛生成的ssl.crt文件路徑 ssl_certificate_key "/home/ssl/ssl.key";//此處填寫剛剛生成的ssl.key文件路徑 ssl_session_cache shared:SSL:1m; ssl_session_timeout5m; ssl_protocols SSLv2 SSLv3 TLSv1; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_prefer_server_ciphers on;location / { }error_page 404 /404.html; location = /40x.html { }error_page 500 502 503 504 /50x.html; location = /50x.html { } } 修改配置并保存后��,執行以下命令:
nginx -s reload 可使nginx重新加載配置�����,使配置生效��。
OK�����,到這里就完成了使用Linux自簽的方法配置https協議����,大家也可訪問我的頁面來查看效果��,地址:https://selfssl.hxkj.vip tips:自簽證書因為安全性很低�����,會被谷歌瀏覽器攔截
下面是證書檢測詳情 自簽證書檢測詳情
二��、阿里云免費證書 第1步:登陸阿里云賬號����,選擇證書服務 選擇證書服務.png
第2步:選擇DV SS 選DV SSL.png
第3步:選擇Symantec 選Symantec.png
第4步:選擇OV SSL 選OV SSL.png
第5步:選擇免費型DV SSL 選免費型DV SSL.png
第6步:好�����,經過曲折的選擇完畢之后�����,購買����,需要支付0元(免費的啦) 購買.png
第7步:購買成功之后會返回證書控制臺�����,然后點擊補全信息 補全.png
第8步:需要填寫證書綁定的域名�����,根據自己的需求填寫就OK 輸入域名.png
第9步:填寫申請人的個人信息����,如實填寫就好 填寫信息.png
第10步:補全成功之后,會返回域名配置引導頁��,如圖所示 域名配置TXT記錄.png
第11步:打開自己的域名控制臺,添加解析 添加解析.png
第12步:給域名添加TXT記錄�����,此處填寫的是第10步的信息��,如圖所示 添加TXT記錄.png
第13步:確認完畢之后����,會自動返回證書配置頁,可以進行配置檢測 檢測配置.png
如果配置正確�����,左邊會顯示“DNS配置記錄正確����,請耐心等候”��。否則的話��,就是域名TXT記錄配置錯誤�����,返回檢查第12步的信息是否填寫正確
第14步:一般10分鐘之內就出結果了,配置正確的話�����,會自動返回這個頁面��,下載證書 下載證書.png
第15步:安裝證書��,阿里教程挺詳細的�����,就不做贅述了 安裝教程.png
下面是我的nginx配置內容��,可供參考:
server { listen 443; server_namealissl.hxkj.vip; ssl on; root /usr/share/nginx/html;ssl_certificate "/home/alissl/214715369370158.pem"; ssl_certificate_key "/home/alissl/214715369370158.key"; ssl_session_cache shared:SSL:1m; ssl_session_timeout5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_prefer_server_ciphers on;location / { }error_page 404 /404.html; location = /40x.html { }error_page 500 502 503 504 /50x.html; location = /50x.html { } }修改配置并保存后��,執行以下命令:
nginx -s reload 可使nginx重新加載配置����,使配置生效。
OK��,到這里就完成了使用阿里云免費證書的方法配置https協議�����,大家也可訪問我的頁面來查看效果,地址:https://alissl.hxkj.vip 下面是證書檢測詳情 阿里證書詳情.png
三����、Let's Encrypt免費證書 1:Let's Encrypt簡介 Let's Encrypt作為一個公共且免費SSL的項目逐漸被廣大用戶傳播和使用,是由Mozilla�����、Cisco����、Akamai、IdenTrust����、EFF等組織人員發起,主要的目的也是為了推進網站從HTTP向HTTPS過度的進程��,目前已經有越來越多的商家加入和贊助支持��。
Let's Encrypt免費SSL證書的出現�����,也會對傳統提供付費SSL證書服務的商家有不小的打擊��。到目前為止�����,Let's Encrypt獲得IdenTrust交叉簽名����,這就是說可以應用且支持包括FireFox、Chrome在內的主流瀏覽器的兼容和支持����,雖然目前是公測階段,但是也有不少的用戶在自有網站項目中正式使用起來�����。
Let's Encrypt 的最大貢獻是它的 ACME 協議����,第一份全自動服務器身份驗證協議,以及配套的基礎設施和客戶端�����。這是為了解決一直以來 HTTPS TLS X.509 PKI 信任模型��,即證書權威(Certificate Authority, CA)模型缺陷的一個起步。在客戶端-服務器數據傳輸中�����,公私鑰加密使得公鑰可以明文傳輸而依然保密數據����,但公鑰本身是否屬于服務器,或公鑰與服務器是否同屬一個身份�����,是無法簡單驗證的��。證書權威模型通過引入事先信任的第三方�����,由第三方去驗證這一點��,并通過在服務器公鑰上簽名的方式來認證服務器�����。第三方的公鑰則在事先就約定并離線準備好����,以備訪問時驗證簽名之用。這個第三方就稱為證書權威��,簡稱CA����。相應的,CA驗證過的公鑰被稱為證書��。問題是�����,如果服務器私鑰泄露�����,CA無法離線使對應的證書無效化����,只能另外發布無效記錄供客戶端查詢。也就是說��,在私鑰泄露到CA發布無效記錄的窗口內����,中間人可以肆意監控服-客之間的傳輸�����。如果中間人設法屏蔽了客戶端對無效記錄的訪問�����,那么直到證書過期����,中間人都可以進行監控��。而由于當前CA驗證和簽發證書大多手動�����,證書有效期往往在一年到三年�����。Let's Encrypt 簽發的證書有效期只有90天�����,甚至希望縮短到60天。有效期越短�����,泄密后可供監控的窗口就越短����。
2:部署Let's Encrypt證書 2.1 檢查服務器是否安裝Python與Git 檢測Python指令
#檢查Python的版本是否在2.7以上 python -v //2.7版本 如果沒有安裝Python的話��,執行以下命令進行安裝(如果檢測到已安裝則略過)
#安裝python所需的包 yum install zlib-devel yum install bzip2-devel yum install openssl-devel yum install ncurses-devel yum install sqlite-devel #獲取到Python cd /usr/local/src wget https://www.python.org/ftp/python/2.7.12/Python-2.7.12.tar.xz #解壓Python2.7.12 tar -xvf Python-2.7.12.tar.xz #編譯python cd Python-2.7.12/ ./configure --prefix=/usr/local/python2.7 make && make install #建立link ln -s /usr/local/python2.7/bin/python2.7 /usr/local/bin/python #解決系統 Python 軟鏈接指向 Python2.7 版本后��,因為yum是不兼容 Python 2.7的�����,所需要指定 yum 的Python版本 # vim /usr/bin/yum將頭部的 #!/usr/bin/python 改成 #!/usr/bin/python2.6.6 檢測Git指令
#檢查系統是否安裝git git--version 如果沒有安裝Git的話��,執行以下命令進行安裝(如果檢測到已安裝則略過)
#git 安裝 yum install git 2.2 快速獲取Let's Encrypt免費SSL證書 相較于第一種自簽生成證書的方法����,Let's Encrypt肯定是考慮到推廣HTTPS的普及型會讓用戶簡單的獲取和部署SSL證書,所以可以采用下面簡單的一鍵部署獲取證書����。
#獲取letsencrypt git clone https://github.com/letsencrypt/letsencrypt #進入letsencrypt目錄 cd letsencrypt #生成證書--email后填寫自己的郵箱 -d 后面填寫需要配置證書的域名(支持多個哦) ./letsencrypt-auto certonly --standalone --email t@tsy6.com -d hxkj.vip -d www.hxkj.vip Let's Encrypt是支持綁定多域名的�����,上述兩種方法都是只支持單域名��。
2.3 Let's Encrypt免費SSL證書獲取與應用 在完成Let's Encrypt證書的生成之后����,我們會在"/etc/letsencrypt/live/hxkj.vip/"域名目錄下有4個文件就是生成的密鑰證書文件�����。
cert.pem- Apache服務器端證書
因為我的是Nginx環境�����,那就需要用到fullchain.pem和privkey.pem兩個證書文件�����。修改nginx配置的詳細過程��,上面兩種方法都提到了�����,這里不再贅述,以下我修改好的配置文件:
server { listen 443; server_namehxkj.vip www.hxkj.vip; ssl on; root /usr/share/nginx/html;ssl_certificate "/etc/letsencrypt/live/hxkj.vip/fullchain.pem"; ssl_certificate_key "/etc/letsencrypt/live/hxkj.vip/privkey.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout5m; ssl_protocols SSLv2 SSLv3 TLSv1; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on;location / { }error_page 404 /404.html; location = /40x.html { }error_page 500 502 503 504 /50x.html; location = /50x.html { } } OK��,到這里就完成了使用Let's Encrypt免費證書的方法配置https協議�����,大家也可訪問我的頁面來查看效果�����,地址:https://hxkj.vip 下面是證書檢測詳情 letsencrypt證書檢測詳情
從上圖可以看出�����,Let's Encrypt證書是有效期90天的�����,需要我們自己手工更新續期才可以��。但是����,身為程序員,可以自動執行的事����,堅決不手動搞。
2.4 Let's Encrypt證書自動續期����,實現真正的永久免費使用 2.4.1 編寫shell腳本 執行以下命令,在"/etc/letsencrypt/live/hxkj.vip/"域名目錄下創建腳本����,方便管理
vim /etc/letsencrypt/live/hxkj.vip/updatessl.sh//創建一個名字為updatessl的腳本 然后在腳本里添加如下代碼
#!/bin/sh /usr/local/src/Python-2.7.12/letsencrypt/certbot-auto renew --force-renew --pre-hook "service nginx stop" --post-hook "service nginx start" #第一行是指此腳本使用/bin/sh 來執行 #第二行中--force-renew參數代表強制更新 退出并保存,然后給腳本添加可執行權限
// 這里的文件路徑填寫你自己的文件路徑 chmod +x /etc/letsencrypt/live/hxkj.vip/updatessl.sh 2.4.2 創建定時任務 打開crontab文件
crontab -e 然后在文件末尾添加一行以下內容
0028 ** root /etc/letsencrypt/live/hxkj.vip/updatessl.sh //我這里代表每月28號更新一次證書文件����,文件路徑填寫你自己的文件路徑 具體格式如下:
MinuteHour Day Month Dayofweek command
每個字段代表的含義如下:
Minute 每個小時的第幾分鐘執行該任務
在這些字段里,除了“Command”是每次都必須指定的字段以外����,其它字段皆為可選字段,可視需要決定��。對于不指定的字段�����,要用“*”來填補其位置。
記得重啟crontab服務哦��。好了����,自動更新證書已經配置完了,再也不用擔心證書過期啦�����!這也是我推薦使用這種方式生成證書的原因之一��,沒辦法��,懶啊~~~ 四����、總結 1.通過Linux自簽方式生成簽名文件��,這種方式操作繁瑣�����,安全性低����,反正就是吃力不討好����,不推薦使用����。 2.使用阿里云的免費證書,配置方便����,唯一的缺點就是有效期只有一年,萬一忘記更新就炸了�����。但是一年的時間也還好��,可以考慮使用��。 3.使用Let's Encrypt證書����,安全性優良,各大廠商都支持�����,還能實現自動更新有效期,這種方式強烈推薦?�。�����?���! 轉載請注明出處:https://www.jianshu.com/p/eaad77ed1c1b
喜歡的話,可以關注下我的微信公眾號 微信公眾號
相關開發語言
日期:2018-04 瀏覽次數:6990
日期:2017-02 瀏覽次數:3686
日期:2017-09 瀏覽次數:3963
日期:2017-12 瀏覽次數:3768
日期:2018-12 瀏覽次數:5108
日期:2016-12 瀏覽次數:4809
日期:2017-07 瀏覽次數:13872
日期:2017-12 瀏覽次數:3736
日期:2018-06 瀏覽次數:4486
日期:2018-05 瀏覽次數:4672
日期:2017-12 瀏覽次數:3767
日期:2017-06 瀏覽次數:4184
日期:2018-01 瀏覽次數:4174
日期:2016-12 瀏覽次數:4134
日期:2018-08 瀏覽次數:4618
日期:2017-12 瀏覽次數:3979
日期:2016-09 瀏覽次數:6733
日期:2018-07 瀏覽次數:3412
日期:2016-12 瀏覽次數:3448
日期:2018-10 瀏覽次數:3589
日期:2018-10 瀏覽次數:3703
日期:2018-09 瀏覽次數:3812
日期:2018-02 瀏覽次數:3824
日期:2015-05 瀏覽次數:3731
日期:2018-09 瀏覽次數:3511
日期:2018-06 瀏覽次數:3635
日期:2017-02 瀏覽次數:4079
日期:2018-02 瀏覽次數:4579
日期:2018-02 瀏覽次數:4441
日期:2016-12 瀏覽次數:3775
余先生:13699882642
企業建站知識
推廣知識
小程序
微信營銷
APP開發
