Certbot签发和续期SSL证书

原创 已于 2024-05-29 09:13:52 修改 · 998 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssl #https #centos

于 2024-04-15 18:53:17 首次发布

项目中一直使用阿里云的免费SSL证书,1年有效期(https://www.aliyun.com/product/cas)

由于近期阿里云调整了免费证书的有效期为3个月,给项目维护提供了不便

采用Certbot可以实现签发和自动续期SSL证书

一、Let’s Encrypt、Certbot和Snap的关系

Let’s Encrypt是一个免费、自动化和开放的证书颁发机构,由非营利的互联网安全研究小组(ISRG)为您提供。

Certbot使用EFF的Certbot在您的网站上自动启用HTTPS,部署Let’s Encrypt证书。

Snap则是用于下载安装Certbot的包管理器。

所以,核心是Let’s Encrypt证书,Snap和Certbot则是用于生成管理证书的工具。

二、官方Certbot安装(与nginx进行证书绑定)

官网地址:https://certbot.eff.org/

1、安装snapd

增加EPEL仓库

sudo yum -y install epel-release

安装snapd

sudo yum -y install snapd

启用snapd socket

systemctl enable --now snapd.socket

创建一个软连接 /snap 到 /var/lib/snapd/snap,安装软件需要在 /snap中

sudo ln -s /var/lib/snapd/snap /snap

2、安装certbot

确保snapd是最新版本

sudo snap install core
sudo snap refresh core

移除certbot-auto和任何Certbot OS包

sudo yum remove certbot

安装certbot

sudo snap install --classic certbot

准备Certbot命令

sudo ln -s /snap/bin/certbot /usr/bin/certbot

选择nginx运行方式

# 自动配置nginx
sudo certbot --nginx
# 手动配置nginx
sudo certbot certonly --nginx

自动续期

sudo certbot renew

3、签发&配置证书

签发证书
注意:签发证书前要先关闭Nginx服务!!!
注意:签发证书前要先关闭Nginx服务!!!
注意:签发证书前要先关闭Nginx服务!!!

# 使用dns方式(需在域名管理中配置_acme-challenge.<YOUR_DOMAIN>的TXT记录)

certbot certonly --email xxx@126.com --manual --preferred-challenges dns -d a.xxx.com


# 签发过程中会生成TXT记录值,此时不要着急下一步,需要先解析好TXT记录。
# 在你添加完记录保存之后,最好要检查一下解析记录
nslookup -type=txt _acme-challenge.example.com 8.8.8.8
# 或者
dig -t txt _acme-challenge.example.com
# 如果包含你所添加的记录值,那么说明添加成功

那现在就可以控制台继续回车,不会意外就会把签发的证书文件保存,控制台打印出来证书文件的存放位置,一般情况下是会保存在/etc/letsencrypt/live/example.com目录下

这个目录下一般会有四个文件:

cert.pem: 服务器证书
chain.pem: 包含Web浏览器为验证服务器而需要的证书或附加中间证书
fullchain.pem: cert.pem + chain.pem
privkey.pem: 证书的私钥

修改nginx配置文件

server {
    listen  443 ssl;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_session_timeout 10m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;

    location / {
        # 你自己配置;
    }
}

配置好 Nginx 配置文件,重载使修改生效

sudo nginx -s reload

4、定时检查自动续期

crontab -e的命令来启用自动任务,命令行:

# 这个脚本表示每隔 7 天,夜里 3 点整自动执行检查续期命令一次。续期完成后,重启 nginx 服务

0 3 */7 * * /bin/certbot renew --renew-hook "/where/your/nginx -s reload"

添加完后重启cron服务即可

service crond restart

参考文档

https://blog.youkuaiyun.com/cljdsc/article/details/133461361

https://blog.youkuaiyun.com/wangyun381974024/article/details/128319707

Certbot 生成 SSL 证书并配置自动续期
weixin_50848244的博客
09-12 1250
之前都是用阿里或者腾讯的免费证书,但是现在域名有点多,还不支持通配符所以根本就不够用,用这个先顶着,老板也是贼抠门,有问题直接沟通
Certbot自动申请并续期https证书
qq_23435961的博客
09-25 1865
获取 SSL 证书:运行 Certbot 命令来获取并安装 SSL 证书。这将使用 Certbot 的 webroot 插件来进行验证,并为你的域名生成 SSL 证书。确保将替换为你网站的根目录路径,替换为你的实际域名。设置自动续期Certbot 支持设置自动续期任务,以确保你的 SSL 证书在到期前得到更新。你可以使用系统的工具(如 cron)来定期运行 Certbot 命令。请使用合适的编辑器打开计划任务配置文件(通常是),将上述命令添加到文件末尾,并保存文件。
certbot-https证书自动续期
rui276933335的专栏
08-22 1093
certbot是一个免费的开源项目是EFF的一部分,自动化的工具,用于帮助管理续期SSL/TLS证书。它可以安装、配置自动续期证书
Docker+certbot+Nginx实现自动续期https证书
最新发布
z1ztai的博客
06-19 347
通过以上步骤,使用 Docker Certbot 为你的网站配置了 HTTPS,并设置了自动续期任务。确保网站始终安全可靠,避免因证书过期导致的服务中断。
nginx的certbot证书续签
haodayizhia的博客
01-30 1330
certbot证书可以手动续签自动续签,自动续签方式有两种:通过crontab周期任务通过系统systemd。
使用Certbot申请免费 HTTPS 证书及自动续期
ss810540895的博客
01-03 2918
Certbot是一款免费且开源的自动化安全证书管理工具,由电子前沿基金会(EFF)开发维护,是在Linux、ApacheNginx服务器上配置管理SSL/TLS证书的一种机制。Certbot可以自动完成域名的认证并安装证书
certbot自动续期阿里云SSL证书并重启nginx
liuyeluoqing的博客
12-28 568
certbot自动续期阿里云SSL证书并重启nginx
Certbot 自动化 SSL 证书安装颁发与配置
FaceThePast的博客
07-15 1227
Snap 是一种由 Canonical 开发的包管理工具,用于在 Linux 系统上安装、管理更新应用程序。它提供了一种与系统依赖隔离的方式来打包应用程序,从而使软件的安装升级变得更加简单可靠。Certbot 是一个强大的工具,简化了获取管理 SSL/TLS 证书的过程。它通过自动化验证续期过程,确保你的网站始终使用最新的安全证书,提供安全的 HTTPS 连接。如果你运行一个网站或服务,使用 Certbot Let’s Encrypt 来管理你的 SSL/TLS 证书是一个值得推荐的选择。
Let's Encrypt证书生成,certbot-auto 生成ssl通用证书 配置https 自动续期
热门推荐
lihao19910921的专栏
08-09 1万+
Let’s Encrypt是一个 CA 机构,但这个 CA 机构是免费的!!!签发证书不需要任何费用, 为了实现通配符证书,Let’s Encrypt 对 ACME 协议的实现进行了升级,只有 v2 协议才能支持通配符证书https://certbot.eff.org/ 证书生成工具, 我们可以通过网站选择对应的系统软件来生成。 我们通过certbot-auto自动生成工具来操作。 ...
配置centos下nginx ssl证书自动续期certbot申请泛域名证书Let‘s Encrypt免费证书
qq_38776651的博客
10-22 1360
输入:certbot certonly --preferred-challenges dns --manual -d *.baidu.com --server https://acme- v02.api.letsencrypt.org/directory --register-unsafely-without-email。#可以用dig -t txt _acme-challenge.xx.cn验证解析是否生效, -------如无dig命令需要用yum install bind-utils。
ssl证书到期续期.docx
10-09
3. **获取新证书**:续期SSL证书通常涉及重新申请。你可以使用工具如Certbot来自动化这个过程。Certbot是一个开源工具,用于自动获取配置Let's Encrypt提供的免费SSL证书。运行`certbot certonly --cert-name ...
certbot续签ssl证书
qq_39992399的博客
01-10 1781
ssl一直用的是阿里的免费证书,但是每年需要定时更换证书,之前免费证书有效期是1年,现在改成了3个月certbot renew -q // 续签(-q, –quiet 程序运行只输出错误信息)certbot certificates // 查看证书openssl x509 -in [公钥xx.pem] -noout -dates // 检测过期时间openssl s_client -connect xxx.com:443 // 检查域名端口配置情况centOS安装certbot
使用certbot申请免费HTTPS证书及自动续期
weixin_43425561的博客
05-26 2602
要申请免费的 HTTPS 证书,您可以使用 Let’s Encrypt 这样的证书颁发机构。Let’s Encrypt 证书的有效期为 90 天,因此您需要设置自动续期以确保证书不会过期。您可以使用 Certbot 的自动续期功能,或者设置一个定时任务来定期更新证书。运行此命令以获取证书,并让 Certbot 自动编辑您的 nginx 配置以提供证书,只需一步即可打开 HTTPS 访问。在计算机上的命令行上执行以下指令,以确保可以运行该命令。在计算机上的命令行上运行此命令以安装 Certbot
certbot ssl证书
qq_35946335的博客
03-29 294
1.下载安装epel包 yum install epel-release 2.下载安装snap yum install snapd systemctl enable --now snapd.socket 创建软连接 ln -s /var/lib/snapd/snap /snap 下载核心包 sudo snap install core 3.下载安装certbot sudo snap install --classic certbot 4.生成证书 sudo certbot certonly -w
使用 Certbot 并设置自动续期 SSL 证书
qq_40602449的博客
07-12 2894
设置自动续期Certbot 支持设置自动续期任务,以确保你的 SSL 证书在到期前得到更新。你可以使用系统的计划任务工具(如 cron)来定期运行 Certbot 命令。),将上述命令添加到文件末尾,并保存文件。Certbot 每天凌晨 2 点自动检查证书是否需要续期,并在需要时更新证书。这将使用 Certbot 的 webroot 插件来进行验证,并为你的域名生成 SSL 证书。获取 SSL 证书:运行 Certbot 命令来获取并安装 SSL 证书。替换为你网站的根目录路径,替换为你的实际域名。
使用Certbot申请ssl证书
WTYX666的博客
11-23 5221
安装certbot # sudo apt update && sudo apt install certbot 获取证书 安装好管理工具之后, 我们需要申请证书下来, 这里我的web服务器是NGINX, 并且我没有网站的静态目录, 所以我使用这个命令申请: # sudo certbot certonly --standalone -d xxx.com -d www.xxx.com 如果你的网站有静态目录的话, 可以把–standalone改成–webroot并且加上-w参数申请, 类似
Certbot实现 HTTPS 免费证书(Let‘s Encrypt)自动续期
小小明-代码实体的专栏
12-12 7897
以前阿里云支持申请一年的免费https证书,那每年我们手动更新证书并没什么大问题,但现在阿里云的免费证书仅支持3个月,这意味着每三个月都要要申请一下证书显得非常麻烦。下面我们使用Certbot实现ssl证书的自动更新,这次我在Centos8的Nginx上进行演示如何配置SSL证书
Docker 容器中运行Certbot获取管理 SSL 证书
别忘了微笑
06-01 2631
如果你在 Docker 容器中运行 Nginx 并希望使用 Certbot 获取管理 SSL 证书,可以使用 Certbot 的官方 Docker 镜像来完成这项工作。
使用 Certbot 自动获取更新 Let‘s Encrypt SSL 证书
李赛赛的专栏
02-19 2808
🔎Certbot是一个由 EFF(电子前沿基金会)开发的自动化工具,用于获取部署证书。它支持多种操作系统Web服务器(如ApacheNginx等),并且能够自动配置服务器以使用SSL证书Certbot是一个强大且易于使用的工具,能够帮助用户轻松获取更新证书。通过本文的介绍,你应该已经掌握了如何安装Certbot、获取SSL证书、配置Web服务器以及设置自动更新。希望本文能帮助你更好地保护你的网站数据传输安全。如果你有任何问题或建议,欢迎在评论区留言讨论!Certbot 官方文档。
一步到位实现HTTP到HTTPS转换的SSL证书自动生成工具
为了让网站管理员能够轻松地为自己的网站配置HTTPS,出现了许多自动化工具,它们可以自动完成SSL证书的申请、安装续期过程。这大大降低了HTTPS的部署难度。一些流行的自动生成SSL证书的工具包括Let's Encrypt的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值