Let‘s Encrypt免费证书的应用示例

最新推荐文章于 2025-05-02 17:05:01 发布
最新推荐文章于 2025-05-02 17:05:01 发布
阅读量2.1k 收藏 13
点赞数
分类专栏: Web Python JS 文章标签: Lets Encrypt HTTP-01 DNS-01 SSL Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/albertsh/article/details/145937330
版权

文章目录

前言

最近在搞苹果应用上架的问题,据说用HTTP会被拒,但貌似不绝对,2017年苹果曾发公告说必须要求HTTPS,紧接着便说延缓这个决定,也就是说现在用HTTP也不一定会被限制,但是确实存在风险,所以想着最近把HTTP请求升级成HTTPS,本着折腾的精神(其实还是穷)搞一搞免费证书,Let’s Encrypt 这个组织之前一篇文章《使用 Let’s Encrypt 获取免费SSL证书》 曾讲到过,我们今天来说下这个证书怎么用,算是给我自己出个教程,拯救一下我记忆力减退的大脑~

证书申请

使用Let’s Encrypt申请SSL证书,可以选择 DNS-01 验证或者 HTTP-01 验证,其中 HTTP-01 可以利用类似 nginx 插件完成证书的自动更新,因为我的环境有点尴尬,80端口总是被各种服务占用,一直也没有成功,但还是列举下步骤,等待后面尝试

sudo yum install epel-release
sudo yum install certbot python2-certbot-nginx # 安装依赖,Ubuntu安装python-certbot-nginx
sudo certbot --nginx -d www.example.com # 生成验证SSL证书
sudo systemctl list-timers # 验证自动续期是否已经配置
sudo certbot renew --dry-run # 确保自动续期正常工作
sudo systemctl reload nginx # 诚信加载配置
openssl s_client -connect www.example.com:443 # 测试证书是否可用

使用 DNS-01 验证可以生成证书后手动配置,命令很简单 sudo certbot certonly --manual --preferred-challenges dns -d www.example.com,具体步骤我就不重复写了,参考上篇

证书介绍

假设我为 checkssl.008ct.space 成功生成了证书,那么会得到以下4个文件,分别介绍一下它们

[root@VM-0-3-centos live]# ll /etc/letsencrypt/live/checkssl.008ct.space/
total 4
lrwxrwxrwx 1 root root  38 Feb 28 13:45 cert.pem -> ../../archive/checkssl.008ct.space/cert1.pem
lrwxrwxrwx 1 root root  39 Feb 28 13:45 chain.pem -> ../../archive/checkssl.008ct.space/chain1.pem
lrwxrwxrwx 1 root root  43 Feb 28 13:45 fullchain.pem -> ../../archive/checkssl.008ct.space/fullchain1.pem
lrwxrwxrwx 1 root root  41 Feb 28 13:45 privkey.pem -> ../../archive/checkssl.008ct.space/privkey1.pem
-rw-r--r-- 1 root root 692 Feb 28 13:45 README

cert.pem

  • 这是 服务器证书(Server Certificate),它是 Let’s Encrypt 为你的域名生成的证书,代表你的服务器身份。
  • 它包含了你的公钥和其他证书信息。
  • 你需要将它配置到 Nginx 中,以便客户端能够验证服务器的身份。

chain.pem

  • 这是 中间证书(Intermediate Certificate),它链接了你的证书和根证书(Root Certificate)。
  • 客户端在验证服务器证书时,需要通过链条的中间证书才能找到受信任的根证书。因此,chain.pem 文件有助于建立证书链的完整性。

fullchain.pem

  • 这是将 服务器证书中间证书 合并在一起的文件。它包含了 cert.pemchain.pem 的内容,客户端验证时需要的是完整的证书链。
  • 推荐在 Nginx 配置中使用 fullchain.pem,因为它包含了所有必要的证书链信息。

privkey.pem

  • 这是 私钥(Private Key),它是你服务器的私密密钥。它用来加密和解密 SSL/TLS 会话。
  • 该文件必须与证书配对,并且应该非常小心地保管,避免泄露。泄露私钥会导致证书被滥用。

使用步骤

证书已经生成好了,假设我们之前有一个引用,支持http和websocket协议,HTTP监听8881端口,WS监听8882端口,通过域名 checkssl.008ct.space 访问,现在需要把他们改成支持HTTPS和WSS,直接修改应用的代价比较大,同时加解密放到应用程序上带来性能损失,这里就可以利用nginx来完成SSL终止,具体操作如下:

搭建简易demo应用

直接用 python3 写一个web应用就行,将以下内容保存到文件app.py中, 通过 python3 app.py 运行即可

import asyncio
import threading
import websockets
from flask import Flask

# 创建 Flask 应用(HTTP 服务)
app = Flask(__name__)

@app.route('/')
def hello():
    return "Hello from HTTP server on port 8881!"

# WebSocket 处理函数
async def websocket_handler(websocket, path):
    print(f"New WebSocket connection: {websocket.remote_address}")
    await websocket.send("Hello from WebSocket server on port 8882!")
    await websocket.wait_closed()

# 启动 Flask 应用的线程(HTTP 服务)
def start_flask():
    app.run(host='0.0.0.0', port=8881)

# 启动 WebSocket 服务的线程
def start_websocket():
    # 为子线程创建一个新的事件循环
    loop = asyncio.new_event_loop()
    asyncio.set_event_loop(loop)

    start_server = websockets.serve(websocket_handler, "0.0.0.0", 8882)
    loop.run_until_complete(start_server)
    loop.run_forever()

# 启动两个服务(HTTP 和 WebSocket)
if __name__ == '__main__':
    # 启动 HTTP 服务
    flask_thread = threading.Thread(target=start_flask)
    flask_thread.start()

    # 启动 WebSocket 服务
    websocket_thread = threading.Thread(target=start_websocket)
    websocket_thread.start()

新建nginx配置文件

在目录 /etc/nginx/conf.d/ 下创建 checkssl.conf 文件,编写内容如下:

server {
    listen 8871 ssl;
    server_name checkssl.008ct.space;

    # SSL 配置
    ssl_certificate /etc/letsencrypt/live/checkssl.008ct.space/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/checkssl.008ct.space/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
    ssl_prefer_server_ciphers on;

    # HTTP 转发到 8881 端口
    location / {
        proxy_pass http://127.0.0.1:8881;  # 转发到 HTTP 服务(Flask)
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

server {
    listen 8872 ssl;
    server_name checkssl.008ct.space;

    # SSL 配置
    ssl_certificate /etc/letsencrypt/live/checkssl.008ct.space/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/checkssl.008ct.space/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
    ssl_prefer_server_ciphers on;

    # WebSocket 转发到 8882 端口
    location / {
        proxy_pass http://127.0.0.1:8882;  # 转发到 WebSocket 服务
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # WebSocket 配置
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
    }
}

编写完成重新加载配置文件,使用命令 nginx -s reload

测试SSL是否生效

测试 HTTPS 直接在浏览器访问 https://checkssl.008ct.space:8871 就行了,在地址栏会显示一把小锁表示网站安全,但是测试 WSS 就不能直接用浏览器了,可以使用python脚本或者js脚本来测试,这里我们用html页面内嵌js来发送WSS请求,点击按钮后发现也是能正常访问服务的。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>WebSocket Test</title>
</head>
<body>
    <h1>WebSocket Test</h1>
    <button onclick="connect()">Connect to WebSocket</button>
    <div id="message"></div>

    <script>
        let socket;

        function connect() {
            socket = new WebSocket('wss://checkssl.008ct.space:8872');

            socket.onopen = function() {
                document.getElementById('message').innerHTML = 'Connected to WebSocket!';
                socket.send("Hello Server!");
            };

            socket.onmessage = function(event) {
                document.getElementById('message').innerHTML = 'Message from server: ' + event.data;
            };

            socket.onerror = function(error) {
                document.getElementById('message').innerHTML = 'Error: ' + error.message;
            };

            socket.onclose = function() {
                document.getElementById('message').innerHTML = 'WebSocket connection closed.';
            };
        }
    </script>
</body>
</html>

发现一个秘密,一直我还以为自己使用这只有90天有效期的 Let's Encrypt 的有点麻烦,今天才发现Vercel平台免费颁发的证书都是这种,不过也够用了,AWS的证书倒是会标记组织为 Amazon

总结

  • 选择 HTTP-01 验证需要占用80端口,可以通过插件实现SSL证书的自动续期
  • 使用 DNS-01 验证得手动添加DNS记录,命令就一条 sudo certbot certonly --manual --preferred-challenges dns -d www.example.com
  • Nginx可以完成SSL终止,将HTTPS转为HTTP,将WSS转为WS,降低应用服务器的负载
  • Let’s Encrypt 颁发的证书有效期是 90 天,减少了证书被泄露或滥用的潜在的风险,鼓励用户采用自动化续期机制
==>> 反爬链接,请勿点击,原地爆炸,概不负责!<<==

父王只是想用自己的经验为你谋个幸福,但现在看来,父辈的经验,毕竟是过往,未必全对,你的路还需你去闯。今后,忠于自己内心的选择吧~

2025-2-22 08:30:00 在这个和父亲第一次一起看电影的影院里,屏幕上出现了这段话,一切都像是被安排好了一样。

Nginx与Let‘s Encrypt:自动化的SSL证书更新
java专栏
08-30 6099
Let’s Encrypt 是一个非营利组织,它提供的是一种免费、自动化、开放的证书颁发机构 (CA)。它的目标是使互联网上的加密无处不在,因此它向公众提供免费SSL/TLS 证书,这些证书可以自动部署、自动更新。
HTTPS】免费SSL证书配置Let‘s Encrypt自动续期
Hello, New World!
04-15 456
若需修改续期频率,需编辑 Snap 定时器的配置(需通过 Snap 命令或修改系统级定时器文件),但默认配置已足够安全(证书到期前 30 天内才会实际续期)。每 12 小时(即每天的 0 点和 12 点)执行一次 certbot renew 命令,–quiet 选项用于在执行时不输出过多信息。:服务器B修改相应的nginx ssl证书配置即可,参考服务器A。:拷贝服务器A上生成的文件到服务器B,并设置相应的权限和软连接。我在服务器B还需要拷贝证书,用于 prod 的域名。验证来申请泛域名证书
使用Let‘s Encrypt免费证书
YHY的日常
05-18 728
在上面的示例中,我们将SSL证书和私钥文件路径指定为/etc/letsencrypt/live/example.com/fullchain.pem和/etc/letsencrypt/live/example.com/privkey.pem。您可以根据实际情况自行更改路径。在上面的示例中,我们将使用certbot renew命令来检查证书是否到期,并在需要时自动更新证书。一旦您安装了Certbot,就可以使用它来获取Let’s Encrypt证书。在获得证书后,您需要配置您的Web服务器以使用它。
Let‘s Encrypt:TLS加密的免费与自动化
weixin_29097457的博客
04-10 255
本文讨论了Transport Layer Security (TLS)的安全机制,特别强调了Let's Encrypt作为一个免费且自动化证书颁发机构的重要性。介绍了证书的申请、验证过程,以及其在Web服务器中的配置和管理。同时,探讨了ACME协议如何简化证书管理,并提出了一些对TLS证书管理和自动化最佳实践的见解。
通过Let‘s Encrypt获取免费SSL证书
2301_82115851的博客
03-20 1503
以下是使用申请免费 SSL 证书的详细步骤,以。
Let‘s Encrypt免费安全证书的步骤及使用-基于centos9, 包括工具certbot安装及使用,获取apache、nginx、iis等服务器安全证书
zrc_xiaoguo的博客
12-07 9634
Certbot 是一个由 Electronic Frontier Foundation(EFF)支持的免费、开源的工具,用于自动化获取、部署和更新 HTTPS 证书。它是为了方便使用 Let's Encrypt 服务而开发的,允许用户在 Web 服务器上快速设置 SSL/TLS 加密连接。
Let’s Encrypt 免费SSL证书申请
yangjing19910801的博客
02-09 6986
腾讯云、阿里云等平台都支持免费SSL证书申请,但只支持单域名SSL证书申请,不支持泛域名证书申请,而且每年只有20张免费证书额度,自2024年4月25日之起免费申请的证书只有3个月有效期。域名比较多的情况下,更新就变得非常麻烦。Let’s Encrypt 是一家免费、开放、自动化的公益性证书颁发机构(CA),提供免费SSL证书申请,并且支持泛域名证书申请,一个证书就能支持很多个域名,多个网站共同使用。不仅如此,它还支持证书自动续期,通过一次的定时任务设定,就可以在三个月证书到期时自动续期。。
免费SSL证书(Let‘s Encrypt / acme)
weixin_45602663的博客
08-31 6427
是一个由非营利性组织(ISRG)提供的免费、自动化和开放的证书颁发机构(CA)。简单的说,借助 Let’s Encrypt 颁发的证书可以为我们的网站免费启用 HTTPS(SSL/TLS)。Let’s Encrypt免费证书的签发/续签都是脚本自动化的,官方提供了几种证书的申请方式方法,快速浏览。官方推荐使用客户端来签发证书,这种方式可参考文档自行尝试,不做评价。我这里直接使用第三方客户端。......
let‘s encrypt免费https证书(certbot)
qq_39168874的博客
09-23 6771
let's encrypt免费https证书(certbot)准备工作访问let's encrypt官网具体配置步骤第一步,以具有 sudo 权限的用户身份通过​​ SSH 连接到运行您的 HTTP 网站的服务器第二步,安装 snapd第三步,确保您的 snapd 版本是最新的第四步,删除 certbot-auto 和任何 Certbot OS 包第五步,安装证书第六步,设置Certbot软链接第七步,生成证书第八步,测试自动续期第九步,配置nginx 准备工作 centos服务器 nginx部署站点
使用Let‘s Encrypt申请免费HTTPS证书
滴水成河,汇流成海
02-14 601
Let’s Encrypt是一个由Internet Security Research Group (ISRG)运营的开源证书颁发机构(CA)。它提供免费SSL/TLS证书,并通过自动化工具Certbot简化了证书的获取和更新过程。Let’s Encrypt证书有效期为90天,但可以通过设置自动更新来确保证书始终有效。
深度解析 Let‘s Encrypt 证书申请:从核心概念到实战避坑指南
最新发布
开源就要来点实在的
05-02 847
免费(如 Let's Encrypt)或低价。# 申请包含所有子域名的证书(需DNS验证)仅验证域名控制权(DNS/HTTP 验证)人工审核 + 机器验证(1-3 个工作日):手动 DNS 验证时 TXT 记录值错误。验证企业资质(营业执照 / 联系方式)个人博客 / 小型网站 / 测试环境。企业官网 / 电商平台 / 金融机构。
自动获取Let's Encrypt免费SSL证书
05-01
NULL 博文链接:https://happysoul.iteye.com/blog/2390306
Nginx与Let‘s Encrypt免费实现全站HTTPS加密
java专栏
09-11 1934
HTTPS其实是HTTP的安全版,也就是超文本传输协议的加密版本。它通过SSL/TLS证书来加密你的数据传输,这样即使有人截获了你的数据包,他们也无法读取其中的内容,只能看到一堆乱码。😎欢迎来到第二章,今天我们要介绍的是Web服务器的守护者——Nginx!🛡️通过设置自动续期,我们可以确保网站的SSL证书始终保持最新,从而保障网站的安全和信任度。如果遇到任何问题,不要犹豫,及时检查日志并寻求帮助。故障排查是一个系统性的过程,需要我们耐心和细致。
使用 Let’s Encrypt 获取免费SSL证书
AlbertS Home of Technology
11-06 6152
之前不太了解SSL免费证书,只研究过一点自签名SSL证书的知识,前几年的12306就是用的这种证书,访问网站时要求你下载安装并信任根证书,后来在腾讯云上薅了一个免费一年的SSL证书,过期后也就没有再更新,在我印象中SSL证书整的很贵,一般的不涉及隐私新的的交互也不需要非得HTTPS...
Let‘s Encrypt 申请免费 SSL 证书(每隔60天自动更新证书
心若有所向往,何惧道阻且长。
07-03 3107
Let‘s Encrypt 申请免费 SSL 证书(每隔60天自动更新证书
Let’s Encrypt生成免费SSL证书
huchao_lingo的博客
08-16 6062
Let's Encrypt获取免费SSL证书
使用 Let’s Encrypt 生成免费 SSL 证书
weixin_44512485的博客
06-18 1404
通过以上步骤,你可以使用 Let’s Encrypt 和 Certbot 为你的域名 www.hei.asia 生成和安装免费SSL/TLS 证书,并配置 Web 服务器来使用这些证书。定期更新证书也可以通过自动化任务来实现,确保你的站点始终保持安全。
Let‘s Encrypt 免费SSL证书相关
笨小蛋的博客
09-03 645
一、简介 Let’s Encrypt —— 是一个由非营利性组织 互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA),简单的说,就是为网站提供免费SSL/TLS 证书 二、安装Let’s Encrypt前的准备工作 根据官方的要求,我们在VPS、服务器上部署Let’s Encrypt免费SSL证书之前,需要系统支持Python2.7以上版本以及支持GIT工具。这个需要根据我们不同的系统版本进行安装和升级,因为有些服务商提供的版本兼容是完善的,尤其是debian环境兼容性比Cen
let's encrypt免费证书申请及使用
deeplearnings的博客
08-16 5069
一、let's encrypt 下载 let's encrypt是国外一家提供免费ssl域名证书的机构,申请过程非常简单,但是免费期只有90天,不过到期可以免费续签。 下载let's encrypt的注册工具: git clone https://github.com/certbot/certbot.git  /soft/certbot   二、申请证书 申请有两种方法: 方法一 (...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AlbertS

常来“玩”啊~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值