配置工具,查询资料后确定生成证书两种方案

通过 Certbot 为 nginx 开启https支持。

http升级到https需求在nginx的配置中投入证书新闻,查询资料后分明生成证书三种方案

环境

  • CentOS 7.1
  • python2.x(那玩意系统里本来就有)

 

安装Nginx

sudo yum install nginx -y

随手运行:

sudo systemctl start nginx

顺手设置开机运维:

sudo systemctl enable nginx

哦,就完事了。 至于配置文件,会在后面设置。

率先种:自签订公约证书,然后打开 CloudFlare 的 CDN 服务

 

//鲜明是或不是安装openssl

which openssl

//若无设置,通过apt-get大概yum等方法安装就能够

sudo apt-get install openssl

//生成二个名叫“ssl.key”的 奥迪Q7SA key文件:施行结果:生成ssl.pass.key 和 ssl.key

openssl genrsa -des3 -passout pass:x -out ssl.pass.key 2048

openssl rsa -passin pass:x -in ssl.pass.key -out ssl.key

//删除中间文件

rm ssl.pass.key

随着,利用已经变化的 ssl.key 文件,进一步生成 ssl.csr 文件:

openssl req -new -key ssl.key -out ssl.csr

实践此行命令会提醒输入密码,按回车即可,因为前边大家在生成 ssl.key 时选拔了密码留空。

终极大家运用前边生成的 ssl.key 和 ssl.csr 文件来生成 ssl.crt 文件,也便是自签订的 SSL 证书文件:

openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt

这一步之后,我们获取三个自签定的 SSL 证书文件 ssl.crt,保藏期为 365 天。此时,ssl.csr 文件也一度不再被需求,能够去除掉了:

rm ssl.csr

 

参考地址:

 

配置https

这里大家使用 Let's Encrypt 提供的证书。且为了有助于设置,使用 Certbot 配置工具。

第二种:借助于Let's Encrypt

 

Let's Encrypt 简介

倘若要启用HTTPS,大家就须求从证书授权机关(以下简称CA) 处获取八个申明,Let's Encrypt 就是一个 CA。我们能够从 Let's Encrypt 得到网址域名的免费的证书。

Certbot 简介

Certbot 是Let's Encrypt官方推荐的获得证书的客商端,能够帮大家获得免费的Let's Encrypt 证书。

 

1. 下载 certbot

最为是依靠官网来管理:

 

图片 1图片 2

2. 生成无需付费证书

合阿拉伯语书档案有比较详细的认证,遵照自身的景观来挑选

 

小心:官方限制了每一周的提请次数,借使您进行支付测验,生成证书的时候增添--staging参数,那样就不要太忧郁数量的界定了

 

上面介绍三种办法

随意哪一类方法,实质都是表明你是否装有这一个域名,只但是完毕的路子不一样

 

1>webroot方法,此方法会在你布署的服务器站点目录下创建.well-known 文件夹,这几个文件夹里面包涵了有的验证文件,certbot 会通过拜候 来验证你的域名是还是不是绑定的这几个服务器

 

假诺你本身从未创立相应的站点也得以和睦参与二个相比较通用的安顿

location ^~ /.well-known/acme-challenge/ { default_type "text/plain"; root /usr/share/nginx/html; } location = /.well-known/acme-challenge/ { return 404; }

 

certbot certonly --webroot -w 网址根目录 -d example.com -w 网址根目录 -d www.example.com

 

2>standalone方法,假若您不想选拔你协和的服务器,这么些主意是个选项,不过急需在乎要关张相应的端口或许是80可能443(以你协和挑选的方式调控)

使用80端口: certbot certonly --standalone --preferred-challenges http -d example.com

使用443端口: certbot certonly --standalone --preferred-challenges tls-sni -d example.com

 

3>manual方法,假若你想在跋扈的linux主机下生成证书,那么这种措施或许是二个取舍,不过要留心的是表达过程中会生成三个字符串,必要您将以此自由的字符串增添到你dns服务器能力够达成验证操作.

certbot certonly --manual --preferred-challenges dns -d archerwong.cn

 

3.剔除证书,倘诺你转移的时候增添了 --stagin参数,下边包车型客车指令也要丰裕

certbot revoke --cert-path /etc/letsencrypt/live/example.com/cert.pem

certbot delete --cert-name example.com

 

4.证书更新

sudo certbot renew --dry-run

 

5.增加的参数选拔

如上的各个指令其实都是足以参预过多参数,最佳是搜索下官方文档

 

自然官方提供了诸七种生成证书的点子,你可以依照你和谐的骨子里境况张开分选

 

证件生成完毕后,大家得以在 /etc/letsencrypt/live/ 目录下看见对应域名的公文夹,里面贮存了指向证书的部分急忙格局。

 

浮动证书后,配置 Nginx

 

开采 nginx server 配置文件加入如下设置:

server {

  listen 443 ssl on;

  ssl_certificate /etc/letsencrypt/live/网址域名/fullchain.pem;

  ssl_certificate_key /etc/letsencrypt/live/网址域名/privkey.pem;

  ## 其余安插

}

 

强制跳转 https

https 暗中认可是监听 443 端口的,没打开 https 访问的话日常暗中同意是 80 端口。借让你规定网址 80 端口上的站点都协助 https 的话参加上面包车型地铁零配件能够自动重定向到 https

server {

  listen 80;

  server_name your.domain.com;

  return 301 ;

}

 

参照地址:

 

 

 

 

 

 

 

 

 

工具得到

证件机构: Let's Encrypt - https://letsencrypt.org
布局工具: Certbot - https://certbot.eff.org/

骨子里,你平昔用不到地方七个链接,笔者把它们写在此只是为着便利通晓别的细节,顺便表示尊重。

实际大家能够直接通过包管理器获取 Certbot 工具。

第一需求设置 EPEL 源:

sudo yum install epel-release -y

然后安装 Certbot :

sudo yum install python2-certbot-nginx -y

工具安装到位。

使用 Certbot

Certbot 使用命令行中的交互式配置,大家运转它,然后紧接着指示一步一步成功就行。

一、 启动 Certbot

经过命令:

sudo certbot --nginx

二、 填写邮箱

在下述提示后,填写您的邮箱地址。

Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): xxxx@xxxx.com

输入你的邮箱地址,回车鲜明。

本文由网投平台官方发布于计算机资讯,转载请注明出处:配置工具,查询资料后确定生成证书两种方案

您可能还会对下面的文章感兴趣: