Let‘s Encrypt通配符证书与Nginx配置实践(以阿里云域名为例)

已于 2025-03-17 17:36:44 修改
阅读量429 收藏 1
点赞数 5
文章标签: nginx 阿里云 运维 通配符SSL证书 SSL
于 2025-03-11 13:23:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Lee_0220/article/details/146175804
版权

前言

SSL证书很贵,阿里云更新免费ssl证书策略,每三个月就会过期重签。期望一个免费、方便的SSL证书产品。Let’s Encrypt完美解决此问题。

Let’s Encrypt简介

Let’s Encrypt,知名的证书颁发机构,开放、免费自动续期,绝大多数浏览器都支持。

前期准备

  1. centos服务器,安装好nginx
  2. 阿里云购买域名,并做好解析到服务器
  3. 在阿里云上建一个用户,添加权限AliyunDNSFullAccess即:管理云解析(DNS)的权限,保存AccessKey IDAccessKey Secret 备用

下载和安装

常用certbot和acme.sh管理证书,本例使用acme.sh

  1. 下载
# 下载
wget -O acme.sh-master.tar.gz https://codeload.github.com/acmesh-official/acme.sh/tar.gz/master
# 解压
tar -zxvf acme.sh-master.tar.gz
# 安装
cd acme.sh-master
# 替换你的邮箱
./acme.sh --install -m xx@qq.com
# 查看版本
./acme.sh --version
# 添加bash,方便操作,非必须
alias acme.sh=~/.acme.sh/acme.sh
  1. 配置阿里云dns信息
# 编辑acme配置
vi /root/.acme.sh/account.conf

增加一下配置,添加阿里云管理dns的访问秘钥

SAVED_Ali_Key='your AccessKey ID'
SAVED_Ali_Secret='your AccessKey Secret'
USER_PATH='/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin'

生成证书并配置nginx

  1. 生成证书
# 生成证书,可以只生成一个主域名证书,会默认支持二级域名
acme.sh --issue --dns dns_ali -d xxx.com --keylength ec-256
# 如果这里直接写通配符,亲测(踩坑)只支持二级域名
# acme.sh --issue --dns dns_ali -d *.xxx.com
 --keylength ec-256
  1. 安装证书
    也就是把证书安装到一个位置
# 此处在安装之后重启了nginx
acme.sh --install-cert -d xxx.com \
--key-file       /usr/local/nginx/ssl/xxx.com.key  \
--fullchain-file /usr/local/nginx/ssl/fullchain.cer \
--reloadcmd     "systemctl reload nginx"

去指定位置/usr/local/nginx/ssl/即可看到证书。

这里要求nginx被安装未服务

  1. 配置到nginx
    在nginx配置文件中添加ssl配置
server {
    listen       443 ssl;
    server_name  xxx.com www.xxx.com;

    ssl_certificate      /usr/local/nginx/ssl/fullchain.cer;
    ssl_certificate_key  /usr/local/nginx/ssl/www.com.key;

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root   html;
        index  index.html index.htm;
    }
}

此处生成的是通配符证书,任何二级域名都可以被认证

特别注意:通配符域名支持二级域名,三级域名需要单独依次生成。

自动续签

默认配置后自动续签,可以查看定时任务。

crontab -l
# 输出
41 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

验证自动续签

# 1. 强制更新证书
acme.sh --renew -d lisi.fun --force
# 查看nginx状态是否启动
systemctl status nginx

查看输出是否存在reload日志:
在这里插入图片描述
发现更新证书的时候,重启了nginx,证书更新也正常。

unoping
关注
免费申请Let‘s Encrypt通配符https证书nginx
Bertram的博客
07-17 1684
前景 Let’s Encrypt 宣布 ACME v2 正式支持通配符证书,并将继续清除 Web 上采用 HTTPS 的障碍,让每个网站轻松获取管理证书。消息一出,马上就有热心用户分享出了 Let’s Encrypt 通配符 HTTPS 证书的申请方式,下面我们一起来学习下吧! 准备工作 安装Certbot 以 centos7 为 Certbot 的官方网站 ,打开这个链接选择自己使用的 web server 和操作系统,EFF 官方会给出详细的使用方法。 1、获取certbot-auto //下载 #
Let‘s Encrypt通配符HTTPS证书以及配置自动续约
Bertram的博客
05-23 1403
Let's Encrypt通配证书HTTPS证书配置自动续约
阿里域名申请 ​ Let‘s Encrypt SSL 证书
ZCF1024 的后宫
05-17 2519
阿里域名申请 ​ Let‘s Encrypt SSL 证书
Let's Encrypt从明年年初开始签发通配符证书
TrustAsia的博客
07-13 1189
Let's Encrypt在其博客中声明将于2018年1月开始发行通配符证书通配符证书是一个常用的功能,它可以保护任何数量的基础域的子域名如* .example.com),允许管理员为域及其所有子域使用单个证书和密钥对,从而使HTTPS更易部署。 从2015年12月至今,Let's Encrypt已通过全自动DV证书颁发和管理API保障了4700万个域名的安全。 Let's En
使用 Let's Encrypt 通配符 HTTPS 证书 tomcat
hlvy
11-18 1066
参考文章:https://www.cnblogs.com/wzlinux/p/11188454.html 参考文章https://blog.youkuaiyun.com/lyq8479/article/details/79022888 1.1、什么是通配符证书 通配符证书,又叫泛域名证书,一张通配符证书可以保护一个域名下同级子域名,使他们都变成 https 加密链接,不需要配置一个子域名再申请一...
Let’s Encrypt 通配符证书,泛域名证书申请配置
weixin_30911809的博客
04-17 719
首先你可以查看下官方提供的支持申请通配符证书的客户端列表:https://letsencrypt.org/docs/client-options/。 参考链接:https://github.com/Neilpang/acme.sh/wiki/dnsapi 这些客户端支持最新的ACME v2接口,而这个接口目前已经正式支持申请通配符证书啦。 这里,我使用acme.sh(https://gith...
Let's Encrypt 通配符证书
qq_20376949的博客
02-01 470
经过两次跳票,Let’s Encrypt 终于在社区宣布支持通配符证书,相关的新闻和技术点见: ACME v2 and Wildcard Certificate Support is Live ACME v2 Production Environment & Wildcards 什么是 Let’s Encrypt? 部署 HTTPS 网站的时候...
申请Let’s Encrypt通配符证书
david394的博客
06-29 894
声明:本文全部内容为原创内容,禁止在未经授权的情况下进行任何二次创作和修改,转载请注明出处。 摘要 这篇文章将会介绍如何申请Let’s Encrypt通配符证书。 步骤一:下载certbot客户端 在最新版本中,certbot是用于部署SSL证书的客户端,下载certbot客户端并赋予文件可执行权限: # 下载certbot客户端 ~$ wget https://dl.eff.org/certbot-auto # 赋予可执行权限 ~$ chmod a+x certbot-auto 步骤二:运行客户端 假
使用Let‘s Encrypt 申请通配符证书
techdashen的博客
06-23 1897
但很多场景下,公司业务很多,某个域名的A记录不可能只有这三两个,如qq.com, 可能下面有www.qq.com,qzone.qq.com, mail.qq.com,weixin.qq.com…Let’s Encrypt 通过免费、自动化的方式推动了网站的加密普及,提供了简单、安全和可靠的 SSL/TLS 证书解决方案,为用户提供更安全的网络体验。对于某个域名,如果DNS解析很少,如只有mail.abc.com,www.abc.com,blog.abc.com, 用公有云需要分别为其申请3个证书
申请 Let's Encrypt 的免费通配符证书
Ryan Z 的技术日志
05-10 2832
原文:https://juejin.im/entry/5aa8f855f265da23945f2f2b在今天,Let’s Encrypt 宣布他们已经支持了通配符证书(Wildcard Certificates),通配符证书是一个可以被多个子域使用的公钥证书,在多子域名的情况下非常方便。市面上的通配符证书大多数比较昂贵,不适合个人使用,而 Let’s Encrypt 则主推免费证书。在去年的时候宣...
使用Nginx配置Let‘s Encrypt SSL证书 - 服务器
IsdCoding的博客
09-27 411
为了确保网站的安全性和数据传输的加密,配置SSL证书是至关重要的。在CentOS服务器上,我们可以使用Nginx作为Web服务器,并通过Let’s Encrypt服务获取免费的SSL证书。本文介绍了在CentOS服务器上使用Nginx配置Let’s Encrypt SSL证书的详细步骤。通过按照上述步骤操作,您可以获得免费的SSL证书,以确保您的网站在数据传输过程中的安全性和加密性。现在,您的Nginx服务器已经配置好了Let’s EncryptSSL证书,并且支持通过HTTPS进行安全的数据传输。
通配符 SSL 证书Nginx 配置:深入理解最佳实践
weixin_54104864的博客
07-29 911
在当今的网络环境中,确保网站的安全性至关重要。SSL 证书在这方面扮演着关键角色,而通配符 SSL 证书则为管理多个子域名提供了便利。本文将深入探讨通配符 SSL 证书的覆盖范围,并讨论如何在 Nginx 中正确配置它们。
let‘s encrypt:基于阿里云的certbot生成免费HTTPS证书
m0_60125201的博客
04-15 2346
本博客利用let's encrypt申请更新了阿里云域名证书,使用的是let's encrypt推荐的certbot将域名从http更新到了https。
【云计算的1024种玩法】使用阿里云解析 + RAM 快速签署 Let's Encrypt 证书
weixin_34351321的博客
12-18 165
2019独角兽企业重金招聘Python工程师标准>>> ...
申请 Let's Encrypt 通配符 HTTPS 证书
weixin_34130269的博客
06-06 369
一、背景知识 1.1、什么是通配符证书 通配符证书,又叫泛域名证书,一张通配符证书可以保护一个域名下同级子域名,使他们都变成 https 加密链接,不需要配置一个子域名再申请一个新证书了,而且不限制子域名数量,这也使得随时增加子域名的同时并不需要额外的付费,对于有多个子域名尤其是子域名数量很多的用户,性价比很高,大大的节约了大量的时间和金钱成本。 1.2、什么是 Let’s Encrypt 部署...
nginx配置证书
最新发布
Small_white_528的博客
09-25 410
引用证书(必须,放在conf/ssl目录下可以用相对路径,其他位置用自己定义的绝对路径)#自动跳转到HTTPS(可选,如果需要强制https可以添加该配置)3 配置完成后,重启nginx服务即可。#监听443端口(必须)#其他的配置信息···
阿里云搭建Let's encrypt通配符证书
qq_33571718的博客
08-14 1812
这个是几个月前配置的,因为昨天证书到期导致HTTPS访问失效;这里记录一下配置过程以及证书续期的流程 xxxx.xxx代表你的域名 全文如此 1.将阿里云主机的TXT记录值添加到 域名管理->域名解析 2.将TXT记录值添加到主机80端口服务的根目录下 ;比如你使用的是nginx 或者Apache ,主目录在www下 在根目录创建目录.well-known/pki-va...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值