第1步:生成私鑰 執(zhí)行如下命令生成一個RSA私鑰
//生成rsa私鑰���,des3算法,1024位強度�,ssl.key是秘鑰文件名。 openssl genrsa -des3 -out ssl.key 1024 然后他會要求你輸入這個key文件的密碼����,由你隨便設(shè)置。
openssl rsa -in ssl.key -out ssl.key 第2步:生成CSR(證書簽名請求) 根據(jù)剛剛生成的key文件來生成證書請求文件�,操作如下:
openssl req -new -key ssl.key -out ssl.csr 說明:執(zhí)行以上命令后,需要依次輸入國家���、地區(qū)�����、城市�����、組織����、組織單位��、Common Name和Email����。其中Common Name應(yīng)該與域名保持一致。
Country Name (2 letter code) [AU]:CN State or Province Name (full name) [Some-State]:GuangDong Locality Name (eg, city) []:ShenZhen Organization Name (eg, company) [Internet Widgits Pty Ltd]:tsy Organizational Unit Name (eg, section) []:tsy Common Name (e.g. server FQDN or YOUR name) []:selfssl.hxkj.vip 這一項必須和你的域名一致 Email Address []:t@tsy6.com 第3步:生成自簽名證書 根據(jù)以上2個文件生成crt證書文件����,執(zhí)行下面命令:
//這里3650是證書有效期(單位:天)�。這個大家隨意���。最后使用到的文件是key和crt文件���。 openssl x509 -req -days 3650 -in ssl.csr -signkey ssl.key -out ssl.crt 需要注意的是,在使用自簽名的臨時證書時���,瀏覽器會提示證書的頒發(fā)機構(gòu)是未知的�。
第4步:安裝私鑰和證書 打開conf目錄中的nginx.conf配置文件修改443端口監(jiān)聽配置����。一般nginx配置文件默認路徑為 /etc/nginx/nginx.conf,執(zhí)行如下命令打開并修改:
vim /etc/nginx/nginx.conf//路徑是你的nginx配置文件路徑 Nginx默認配置是將443端口的監(jiān)聽配置注釋掉了的����,如下:
# Settings for a TLS enabled server. #server { #listen 443; #server_namelocalhost; #ssl on; #root /usr/share/nginx/html;#ssl_certificate ""; #ssl_certificate_key ""; #ssl_session_cache shared:SSL:1m; #ssl_session_timeout5m; #ssl_protocols SSLv2 SSLv3 TLSv1; #ssl_ciphers HIGH:!aNULL:!MD5; #ssl_prefer_server_ciphers on; # # Load configuration files for the default server block. #include /etc/nginx/default.d/*.conf; # #location / { #} # #error_page 404 /404.html; #location = /40x.html { #} # #error_page 500 502 503 504 /50x.html; #location = /50x.html { #} #} 將注釋打開����,并對其中部分內(nèi)容進行修改,修改后如下:
# Settings for a TLS enabled server. server { listen 443; server_nameselfssl.hxkj.vip;//此處填寫你自己的域名 ssl on; root /usr/share/nginx/html;ssl_certificate "/home/ssl/ssl.crt"; //此處填寫剛剛生成的ssl.crt文件路徑 ssl_certificate_key "/home/ssl/ssl.key";//此處填寫剛剛生成的ssl.key文件路徑 ssl_session_cache shared:SSL:1m; ssl_session_timeout5m; ssl_protocols SSLv2 SSLv3 TLSv1; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_prefer_server_ciphers on;location / { }error_page 404 /404.html; location = /40x.html { }error_page 500 502 503 504 /50x.html; location = /50x.html { } } 修改配置并保存后���,執(zhí)行以下命令:
nginx -s reload 可使nginx重新加載配置�,使配置生效。
OK�,到這里就完成了使用Linux自簽的方法配置https協(xié)議,大家也可訪問我的頁面來查看效果�����,地址:https://selfssl.hxkj.vip tips:自簽證書因為安全性很低��,會被谷歌瀏覽器攔截
下面是證書檢測詳情 自簽證書檢測詳情
二�、阿里云免費證書 第1步:登陸阿里云賬號,選擇證書服務(wù) 選擇證書服務(wù).png
第2步:選擇DV SS 選DV SSL.png
第3步:選擇Symantec 選Symantec.png
第4步:選擇OV SSL 選OV SSL.png
第5步:選擇免費型DV SSL 選免費型DV SSL.png
第6步:好�����,經(jīng)過曲折的選擇完畢之后��,購買��,需要支付0元(免費的啦) 購買.png
第7步:購買成功之后會返回證書控制臺�����,然后點擊補全信息 補全.png
第8步:需要填寫證書綁定的域名���,根據(jù)自己的需求填寫就OK 輸入域名.png
第9步:填寫申請人的個人信息��,如實填寫就好 填寫信息.png
第10步:補全成功之后����,會返回域名配置引導(dǎo)頁,如圖所示 域名配置TXT記錄.png
第11步:打開自己的域名控制臺��,添加解析 添加解析.png
第12步:給域名添加TXT記錄�,此處填寫的是第10步的信息,如圖所示 添加TXT記錄.png
第13步:確認完畢之后�����,會自動返回證書配置頁���,可以進行配置檢測 檢測配置.png
如果配置正確�����,左邊會顯示“DNS配置記錄正確�����,請耐心等候”����。否則的話�����,就是域名TXT記錄配置錯誤��,返回檢查第12步的信息是否填寫正確
第14步:一般10分鐘之內(nèi)就出結(jié)果了�����,配置正確的話�����,會自動返回這個頁面�,下載證書 下載證書.png
第15步:安裝證書,阿里教程挺詳細的���,就不做贅述了 安裝教程.png
下面是我的nginx配置內(nèi)容�����,可供參考:
server { listen 443; server_namealissl.hxkj.vip; ssl on; root /usr/share/nginx/html;ssl_certificate "/home/alissl/214715369370158.pem"; ssl_certificate_key "/home/alissl/214715369370158.key"; ssl_session_cache shared:SSL:1m; ssl_session_timeout5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_prefer_server_ciphers on;location / { }error_page 404 /404.html; location = /40x.html { }error_page 500 502 503 504 /50x.html; location = /50x.html { } }修改配置并保存后����,執(zhí)行以下命令:
nginx -s reload 可使nginx重新加載配置,使配置生效�。
OK,到這里就完成了使用阿里云免費證書的方法配置https協(xié)議�,大家也可訪問我的頁面來查看效果,地址:https://alissl.hxkj.vip 下面是證書檢測詳情 阿里證書詳情.png
三����、Let's Encrypt免費證書 1:Let's Encrypt簡介 Let's Encrypt作為一個公共且免費SSL的項目逐漸被廣大用戶傳播和使用,是由Mozilla�����、Cisco��、Akamai�����、IdenTrust���、EFF等組織人員發(fā)起����,主要的目的也是為了推進網(wǎng)站從HTTP向HTTPS過度的進程��,目前已經(jīng)有越來越多的商家加入和贊助支持��。
Let's Encrypt免費SSL證書的出現(xiàn)��,也會對傳統(tǒng)提供付費SSL證書服務(wù)的商家有不小的打擊��。到目前為止����,Let's Encrypt獲得IdenTrust交叉簽名,這就是說可以應(yīng)用且支持包括FireFox���、Chrome在內(nèi)的主流瀏覽器的兼容和支持����,雖然目前是公測階段��,但是也有不少的用戶在自有網(wǎng)站項目中正式使用起來����。
Let's Encrypt 的最大貢獻是它的 ACME 協(xié)議,第一份全自動服務(wù)器身份驗證協(xié)議�,以及配套的基礎(chǔ)設(shè)施和客戶端�����。這是為了解決一直以來 HTTPS TLS X.509 PKI 信任模型����,即證書權(quán)威(Certificate Authority, CA)模型缺陷的一個起步�。在客戶端-服務(wù)器數(shù)據(jù)傳輸中,公私鑰加密使得公鑰可以明文傳輸而依然保密數(shù)據(jù)���,但公鑰本身是否屬于服務(wù)器�����,或公鑰與服務(wù)器是否同屬一個身份�,是無法簡單驗證的��。證書權(quán)威模型通過引入事先信任的第三方����,由第三方去驗證這一點,并通過在服務(wù)器公鑰上簽名的方式來認證服務(wù)器���。第三方的公鑰則在事先就約定并離線準備好�����,以備訪問時驗證簽名之用����。這個第三方就稱為證書權(quán)威��,簡稱CA�。相應(yīng)的,CA驗證過的公鑰被稱為證書��。問題是���,如果服務(wù)器私鑰泄露�,CA無法離線使對應(yīng)的證書無效化���,只能另外發(fā)布無效記錄供客戶端查詢����。也就是說�,在私鑰泄露到CA發(fā)布無效記錄的窗口內(nèi),中間人可以肆意監(jiān)控服-客之間的傳輸。如果中間人設(shè)法屏蔽了客戶端對無效記錄的訪問�����,那么直到證書過期����,中間人都可以進行監(jiān)控。而由于當(dāng)前CA驗證和簽發(fā)證書大多手動�,證書有效期往往在一年到三年。Let's Encrypt 簽發(fā)的證書有效期只有90天����,甚至希望縮短到60天。有效期越短�,泄密后可供監(jiān)控的窗口就越短。
2:部署Let's Encrypt證書 2.1 檢查服務(wù)器是否安裝Python與Git 檢測Python指令
#檢查Python的版本是否在2.7以上 python -v //2.7版本 如果沒有安裝Python的話��,執(zhí)行以下命令進行安裝(如果檢測到已安裝則略過)
#安裝python所需的包 yum install zlib-devel yum install bzip2-devel yum install openssl-devel yum install ncurses-devel yum install sqlite-devel #獲取到Python cd /usr/local/src wget https://www.python.org/ftp/python/2.7.12/Python-2.7.12.tar.xz #解壓Python2.7.12 tar -xvf Python-2.7.12.tar.xz #編譯python cd Python-2.7.12/ ./configure --prefix=/usr/local/python2.7 make && make install #建立link ln -s /usr/local/python2.7/bin/python2.7 /usr/local/bin/python #解決系統(tǒng) Python 軟鏈接指向 Python2.7 版本后���,因為yum是不兼容 Python 2.7的��,所需要指定 yum 的Python版本 # vim /usr/bin/yum將頭部的 #!/usr/bin/python 改成 #!/usr/bin/python2.6.6 檢測Git指令
#檢查系統(tǒng)是否安裝git git--version 如果沒有安裝Git的話���,執(zhí)行以下命令進行安裝(如果檢測到已安裝則略過)
#git 安裝 yum install git 2.2 快速獲取Let's Encrypt免費SSL證書 相較于第一種自簽生成證書的方法��,Let's Encrypt肯定是考慮到推廣HTTPS的普及型會讓用戶簡單的獲取和部署SSL證書���,所以可以采用下面簡單的一鍵部署獲取證書。
#獲取letsencrypt git clone https://github.com/letsencrypt/letsencrypt #進入letsencrypt目錄 cd letsencrypt #生成證書--email后填寫自己的郵箱 -d 后面填寫需要配置證書的域名(支持多個哦) ./letsencrypt-auto certonly --standalone --email t@tsy6.com -d hxkj.vip -d www.hxkj.vip Let's Encrypt是支持綁定多域名的����,上述兩種方法都是只支持單域名。
2.3 Let's Encrypt免費SSL證書獲取與應(yīng)用 在完成Let's Encrypt證書的生成之后�,我們會在"/etc/letsencrypt/live/hxkj.vip/"域名目錄下有4個文件就是生成的密鑰證書文件。
cert.pem- Apache服務(wù)器端證書
因為我的是Nginx環(huán)境����,那就需要用到fullchain.pem和privkey.pem兩個證書文件�。修改nginx配置的詳細過程,上面兩種方法都提到了��,這里不再贅述����,以下我修改好的配置文件:
server { listen 443; server_namehxkj.vip www.hxkj.vip; ssl on; root /usr/share/nginx/html;ssl_certificate "/etc/letsencrypt/live/hxkj.vip/fullchain.pem"; ssl_certificate_key "/etc/letsencrypt/live/hxkj.vip/privkey.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout5m; ssl_protocols SSLv2 SSLv3 TLSv1; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on;location / { }error_page 404 /404.html; location = /40x.html { }error_page 500 502 503 504 /50x.html; location = /50x.html { } } OK,到這里就完成了使用Let's Encrypt免費證書的方法配置https協(xié)議��,大家也可訪問我的頁面來查看效果�����,地址:https://hxkj.vip 下面是證書檢測詳情 letsencrypt證書檢測詳情
從上圖可以看出,Let's Encrypt證書是有效期90天的�����,需要我們自己手工更新續(xù)期才可以��。但是���,身為程序員���,可以自動執(zhí)行的事,堅決不手動搞�。
2.4 Let's Encrypt證書自動續(xù)期,實現(xiàn)真正的永久免費使用 2.4.1 編寫shell腳本 執(zhí)行以下命令����,在"/etc/letsencrypt/live/hxkj.vip/"域名目錄下創(chuàng)建腳本,方便管理
vim /etc/letsencrypt/live/hxkj.vip/updatessl.sh//創(chuàng)建一個名字為updatessl的腳本 然后在腳本里添加如下代碼
#!/bin/sh /usr/local/src/Python-2.7.12/letsencrypt/certbot-auto renew --force-renew --pre-hook "service nginx stop" --post-hook "service nginx start" #第一行是指此腳本使用/bin/sh 來執(zhí)行 #第二行中--force-renew參數(shù)代表強制更新 退出并保存�����,然后給腳本添加可執(zhí)行權(quán)限
// 這里的文件路徑填寫你自己的文件路徑 chmod +x /etc/letsencrypt/live/hxkj.vip/updatessl.sh 2.4.2 創(chuàng)建定時任務(wù) 打開crontab文件
crontab -e 然后在文件末尾添加一行以下內(nèi)容
0028 ** root /etc/letsencrypt/live/hxkj.vip/updatessl.sh //我這里代表每月28號更新一次證書文件����,文件路徑填寫你自己的文件路徑 具體格式如下:
MinuteHour Day Month Dayofweek command
每個字段代表的含義如下:
Minute 每個小時的第幾分鐘執(zhí)行該任務(wù)
在這些字段里���,除了“Command”是每次都必須指定的字段以外,其它字段皆為可選字段��,可視需要決定�。對于不指定的字段,要用“*”來填補其位置��。
記得重啟crontab服務(wù)哦�。好了,自動更新證書已經(jīng)配置完了��,再也不用擔(dān)心證書過期啦�����!這也是我推薦使用這種方式生成證書的原因之一�,沒辦法�,懶啊~~~ 四、總結(jié) 1.通過Linux自簽方式生成簽名文件�,這種方式操作繁瑣,安全性低����,反正就是吃力不討好���,不推薦使用。 2.使用阿里云的免費證書���,配置方便����,唯一的缺點就是有效期只有一年�,萬一忘記更新就炸了。但是一年的時間也還好��,可以考慮使用�����。 3.使用Let's Encrypt證書���,安全性優(yōu)良�����,各大廠商都支持���,還能實現(xiàn)自動更新有效期����,這種方式強烈推薦?。?����! 轉(zhuǎn)載請注明出處:https://www.jianshu.com/p/eaad77ed1c1b
喜歡的話���,可以關(guān)注下我的微信公眾號 微信公眾號
相關(guān)開發(fā)語言
日期:2018-04 瀏覽次數(shù):6790
日期:2017-02 瀏覽次數(shù):3472
日期:2017-09 瀏覽次數(shù):3690
日期:2017-12 瀏覽次數(shù):3557
日期:2018-12 瀏覽次數(shù):4857
日期:2016-12 瀏覽次數(shù):4608
日期:2017-07 瀏覽次數(shù):13667
日期:2017-12 瀏覽次數(shù):3538
日期:2018-06 瀏覽次數(shù):4292
日期:2018-05 瀏覽次數(shù):4477
日期:2017-12 瀏覽次數(shù):3582
日期:2017-06 瀏覽次數(shù):4007
日期:2018-01 瀏覽次數(shù):3969
日期:2016-12 瀏覽次數(shù):3934
日期:2018-08 瀏覽次數(shù):4450
日期:2017-12 瀏覽次數(shù):3749
日期:2016-09 瀏覽次數(shù):6480
日期:2018-07 瀏覽次數(shù):3238
日期:2016-12 瀏覽次數(shù):3253
日期:2018-10 瀏覽次數(shù):3407
日期:2018-10 瀏覽次數(shù):3514
日期:2018-09 瀏覽次數(shù):3601
日期:2018-02 瀏覽次數(shù):3623
日期:2015-05 瀏覽次數(shù):3549
日期:2018-09 瀏覽次數(shù):3333
日期:2018-06 瀏覽次數(shù):3460
日期:2017-02 瀏覽次數(shù):3895
日期:2018-02 瀏覽次數(shù):4356
日期:2018-02 瀏覽次數(shù):4215
日期:2016-12 瀏覽次數(shù):3599
余先生:13699882642
企業(yè)建站知識
推廣知識
小程序
微信營銷
APP開發(fā)
