内网一键生成 LetsEncrypt HTTPS证书 - 3 - 生成证书

最新推荐文章于 2025-07-14 15:34:46 发布
原创 最新推荐文章于 2025-07-14 15:34:46 发布 · 8k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssl

本文介绍了一种自动化部署SSL证书的方法,包括使用bash脚本生成RSA和ECC密钥、CSR文件,通过Python脚本申请Let's Encrypt证书,以及将证书打包并通过邮件发送。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 前提

ssl脚本执行目录:/root/ssl/
www目录: /root/www/challenges , python -m SimpleHTTPServer 80
sendemail放置地方:/root/ssl/sendemail

HTTP服务器准备

如果胆儿大,直接执行如下的内容即可

#!/bin/bash
# filepath: /root/ssl/a.sh

# 清场
ls | grep -v a.sh | grep -v sendemail | grep -v tar.gz | xargs -i rm -f {}

which openssl || (echo "没有找到openssl,开始安装"; yum install -y openssl)

# 创建一个目录
mkdir /root/ssl && echo "创建临时目录成功!" || (echo "创建临时目录失败";exit)

# 创建一个RSA私钥
openssl genrsa 4096 > account.key && echo "创建RSA私钥成功!" || (echo "创建RSA私钥失败!";exit)

# 创建另一个RSA私钥
openssl genrsa 4096 > domain.key && echo "创建另外一个私钥成功!" || (echo "创建另外一个RSA私钥失败!";exit)

#创建ECC私钥
openssl ecparam -genkey -name secp256r1 | openssl ec -out domain.key && echo "创建ECC私钥成功!" || (echo "创建ECC私钥失败!";exit)
openssl ecparam -genkey -name secp384r1 | openssl ec -out domain.key && echo "创建ECC私钥成功!" || (echo "创建ECC私钥失败!";exit)

#生成CSR文件,有两种方式,我用的是第二种,但是第一种可以一次多申请几个,可以稍后测试
# In how many days should certificates expire?
export KEY_EXPIRE=3650
export KEY_COUNTRY="CN"
export KEY_PROVINCE="SD"
export KEY_CITY="JN"
export KEY_ORG="IIOT"
export KEY_EMAIL="zzlyzq@gmail.com"
export KEY_OU="CloudPlatform"

#openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr
openssl req -new -sha256 -key domain.key -out domain.csr

# 配置验证服务,为啥要这么说呢,因为letsencrypt给的也是DV,也就是域名验证,我们运行软件申请的时候,本身python脚本会在本地写一个随机数到一个随机文件,它们官方会从远端经过公网DNS解析并去获取这个文件,如果一致,就说明这个站点是我们的,也就可以申请证书了。
[ -d "~/www/challenges" ] || mkdir -p ~/www/challenges/
# 另外,还需要两个步骤,最后会说明为啥要这两个步骤。
mkdir /root/www/challenges/.well-known/ -p
ln -s /root/www/challenges/ /root/www/challenges/.well-known/acme-challenge

# 接下来我们就要下载python脚本,并去申请证书了
wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

# 在执行下面之前,我们可以打开网站,最简单的就是使用python
#nohup python -m SimpleHTTPServer 80&
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt

# 如果一切正常,我们会看到signed.crt这个就是我们的证书了。

# 另外,我们还需要letsencrypt的中间证书,我也不知道啥意思,反正是需要一个官网的东西
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
cat intermediate.pem root.pem > full_chained.pem

# 打包发送
tar czvf crt.tar.gz chained.pem domain.key
./sendemail -f 123@vip.126.com -t 123@iiot.ac.cn -s smtp.vip.126.com -u "证书快递" -xu 123 -xp 123 -m "证书For域名:XX生成成功" -a crt.tar.gz -o message-charset=utf-8

生成的时候会要求输入一些东西,比如国家,省会,城市,公司名称,common name最重要,这个就是域名哦。
生成完成后,会自动打包发送邮件。

使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
局域网搭建https局域网单项认证
zhangyani_502000的博客
06-21 2769
1.使用tomcat作为服务器搭建局域网访问https需要使用java jdk\bin下的keytool.exe来创建证书使用命令:keytool -genkenpair -alias "tomcat" -keyalg "RSA" -keystore "c:tomcat.keystore"配置各种参数:名字与姓氏、组织单位姓氏、组织名称、以及其他2.最终会生成一个c:tomcat.keystore...
生成局域网内网测试https证书
m0_58453152的博客
06-24 1784
生成局域网内网测试https证书
内网环境自签名超长期HTTPS证书,并在Chrome中显示为安全证书
weixin_45158066的博客
07-14 897
如果只是在测试环境确定一下这种方式是否可行,可以用一个简单的python程序来模拟网站,装载证书,然后在C:\windows\system32\drivers\etc\host这里,改一下host,把目标域名指向127.0.0.1,运行这个python程序,然后直接在浏览器直接打开https://目标域名:4443,就能访问本机这个demo,来测试证书是否可用。这个时候,用户打开装载了这个证书的网站,只要域名和证书里的域名一致,Chrome就会显示安全的证书了。
ssl证书(https/wss)内网测试
yunteng521的博客
01-04 2002
ssl证书(https/wss)内网测试 pkcs1 pkcs8 pkcs12
申请免费的https证书-Let's Encrypt
热门推荐
程序猿开发日志【学习永无止境】
01-13 1万+
背景 近来,互联网由http向https推进的步伐越来越快,除了各大浏览器之外,搜索引擎也特别的优待https,因此想着跟上步伐把自己的网站也弄成https。 想要弄成httpsssl证书是个绕不过去的坎,各大CA机构的证书都价格不菲,要找个免费又受各大浏览器信任的证书着实不易。 本来考虑StartSSL是个不错的选择,但是最近StartSSL因为自身的不规范操作遭到了各大浏览
https协议_Https超文本传输协议SSL证书
weixin_39890431的博客
11-23 945
https叫超文本传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。HTTPS有三大特点:1、内容加密:采用混合加密技术,中间者无法直接查看明文内容;2、验证身份:通过证书认证客户端访问的是自己的服务器;3、保护数据完整性:防止传输的内容被中间人冒充或者篡改。所以http...
docker 一键部署 Apollo 分布式配置中心-apollo-all-in-one-for-docker.zip
01-29
docker 一键部署 Apollo 分布式配置中心-apollo-all-in-one-for-docker
IIS 实现 HTTPS:OpenSSL证书生成与配置完整指南
liora6的博客
06-11 1210
本文介绍了在Windows系统下使用OpenSSL生成自签名证书并配置IIS HTTPS站点的方法。首先下载安装OpenSSL 3.0.4版本并配置环境变量,然后通过命令行生成.key、.csr、.cer和.pfx证书文件。最后在IIS管理器中导入生成的.pfx证书文件,配置HTTPS站点绑定。相比IIS自带的自签名证书功能,使用OpenSSL生成证书更加可靠。文中详细说明了每个步骤的操作命令和注意事项,并配有截图说明,完整呈现了从证书生成到IIS配置的全过程。
在 Ubuntu 上使用 acme-dns-certbot 获取 Let‘s Encrypt 证书
了解关于云主机、GPU、AI、数据库托管、Kubernetes等相关技术知识,以及DigitalOcean云平台使用教程
10-31 1145
我们之前分享过。大多数证书使用 HTTP 验证颁发,这样可以轻松地在单个服务器上安装证书。然而,HTTP 验证并不总是适合为负载均衡网站颁发证书,也不能用于的颁发。DNS 验证通过 DNS 记录来验证证书请求,而不是通过 HTTP 提供内容。这意味着可以为负载均衡器后的 Web 服务器集群,或无法直接通过互联网访问的系统颁发证书。使用 DNS 验证同样支持通配符证书。工具可以将连接到第三方 DNS 服务器,当你请求证书时,通过 API 自动设置证书验证记录。
数字证书制作工具itisscg.exe
12-11
这是一个用.NET开发的证书生成工具,图形界面。这个工具小巧玲珑,只有200多K,需要.NET4.6的支持。 生成证书含有subject Alternative Name。具体可见文章:https://blog.youkuaiyun.com/leftfist/article/details/81433372
自己生成一个https证书
u011649691的博客
07-04 6450
生成一个 HTTPS 证书和密钥可以通过使用 OpenSSL 工具来完成。以下是生成自签名证书和密钥的详细步骤。
内网https需要ssl证书_这些行业需要SSL证书来保障网站安全
weixin_39843431的博客
01-04 342
无论是工作还是生活需要,我们每天都会访问各种网站。这些网站都是安全的吗?答案自然是否定的。为了确保网站的基本安全,部署SSL证书是关键的一步。那么对于成千上万的行业,哪些行业需要SSL证书?1、银行金融、电子商务企业这种行业的网站对安全性有很高的要求,毕竟涉及到金钱交易。因此,需要SSL证书来确保网站数据的安全。经过企业身份认证,可以有效避免假冒网站等。2、有用户名、密码登录或注册等页面的行业网站...
macos 此服务器的证书无效_本地SSL证书生成https调试解决方案
weixin_39777543的博客
11-25 929
引言在Web开发中我们可能会遇到调用后端服务或者Api接口,在某些场景下我们可能需要走https,一般情况下我们会直接放到线上进行这样的测试,对我们的开发造成了很大程度上时间的浪费,因此用上这款神器即可生成本地SSL证书,供我们开发使用,它就是mkcert。介绍mkcert是一个简单的零配置SSL生成工具,可以使用你喜欢的任何名称制作本地可信赖的开发证书生成证书可供我们在本地需要https 的...
内网创建https网站的SSL证书、代码签名证书
苹果2008的博客
03-18 7981
本文重点讲解使用同一根证书,分别制作网站httpsSSL证书、VSTO的代码签名证书,制作环境为安装了vs 2022的windows10、安装了openssl的centos7。 一、制作根证书
局域网使用自签名https(SSL)证书
sinco25的博客
05-06 3682
局域网内搭建https web服务器,没有域名,但又必须使用https访问,可使用自签名SSL证书,然后部署到web容器中即可。初次访问时大多数浏览器会提示些网站或证书不安全,不用管他,点“仍然访问”之类的就行。
Lets Encrypt 通过脚本快速创建证书
justinytsoft的博客
12-04 1005
下载到本地 wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.conf wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.sh chmod +
openssl内网IP生成ca证书(ssl证书)
wd520521的博客
03-29 9168
openssl内网IP生成ca证书(ssl证书)
如何在 Nginx 中为内网服务生成自签名证书
最新发布
08-16
<think>我们根据用户需求,需要为内网服务生成自签名SSL证书,并配置Nginx使用该证书提供HTTPS服务(端口9080)。 步骤分为两部分:生成自签名证书和配置Nginx。 第一部分:生成自签名证书 1. 创建证书存放目录(例如:/etc/nginx/ssl) 2. 生成私钥和自签名证书 第二部分:配置Nginx 1. 编辑Nginx配置文件,添加一个server块监听9080端口,并配置SSL证书路径 2. 配置代理转发到目标地址(https://fp.baiwang.com) 注意:自签名证书在浏览器中会显示不安全,需要手动信任(安装到本地受信任的根证书颁发机构)。 详细步骤: 一、生成自签名证书 1. 创建目录(如果不存在): sudo mkdir -p /etc/nginx/ssl 2. 生成私钥(server.key)和证书签名请求(CSR): 通常生成自签名证书可以直接一步生成私钥和证书,但也可以分开。这里我们一步生成: sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \ -keyout /etc/nginx/ssl/server.key \ -out /etc/nginx/ssl/server.crt 参数说明: - req: 创建证书签名请求 - x509: 生成自签名证书 - nodes: 不加密私钥(避免Nginx每次启动都要输入密码) - days 365: 证书有效期365天 - newkey rsa:2048: 生成一个新的2048位的RSA私钥 - keyout: 私钥输出路径 - out: 证书输出路径 执行命令后,会提示输入一些信息,如国家、省份、城市、组织名称、邮箱等。对于内网使用,这些信息可以自定义,但Common Name(域名)要填写内网访问的域名(如:internal.example.com)或IP地址。如果使用IP访问,则填写IP。但注意:浏览器对自签名证书使用IP会有额外警告。 3. 设置文件权限(可选,确保私钥安全): sudo chmod 400 /etc/nginx/ssl/server.key 二、配置Nginx 1. 在Nginx配置文件中(例如:/etc/nginx/nginx.conf 或 /etc/nginx/conf.d/default.conf)添加以下配置: server { listen 9080 ssl; server_name 内网域名或IP; # 例如:192.168.1.100 或 internal.example.com ssl_certificate /etc/nginx/ssl/server.crt; ssl_certificate_key /etc/nginx/ssl/server.key; # SSL优化配置 ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers on; location / { proxy_pass https://fp.baiwang.com; # 设置必要的头信息 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 解决目标服务器SSL证书验证问题(如果是自签名或测试环境,可以关闭验证) proxy_ssl_verify off; proxy_ssl_server_name on; } } 2. 测试配置并重载Nginx: sudo nginx -t sudo nginx -s reload 三、客户端信任自签名证书(可选) 由于是自签名证书,浏览器访问时会提示不安全。如果需要让浏览器信任,可以将生成的server.crt证书文件导入到客户端的受信任根证书颁发机构。 对于Windows: - 双击server.crt文件,选择“安装证书->“本地计算机”->“将所有的证书都放入下列存储”->“受信任的根证书颁发机构” 对于Mac: -证书文件拖入“钥匙串访问”应用,然后找到该证书,右键选择“信任”->“始终信任” 注意:内网使用,建议为每个客户端安装此证书。 四、访问测试 使用浏览器访问:https://内网域名或IP:9080 如果配置正确,应该能访问到fp.baiwang.com的内容。 相关问题: 1. 如何为内网多个域名生成自签名证书? 2. Nginx配置HTTPS代理时出现502错误如何排查? 3. 如何让Nginx同时支持HTTP和HTTPS代理? 4. 自签名证书的有效期过后如何更新? 5. 如何配置Nginx以支持客户端证书验证(双向SSL)?</think>### 为 Nginx 内网服务配置自签名 SSL 证书 #### 步骤 1:生成自签名证书 ```bash # 创建证书目录 sudo mkdir -p /etc/nginx/ssl cd /etc/nginx/ssl # 生成私钥和证书(有效期365天) sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \ -keyout server.key \ -out server.crt # 设置文件权限 sudo chmod 400 server.key ``` 执行命令时需要填写以下信息(示例): ``` Country Name (2 letter code) [XX]:CN State or Province Name (full name) []:Beijing Locality Name (eg, city) [Default City]:Beijing Organization Name (eg, company) [Default Company Ltd]:MyCompany Organizational Unit Name (eg, section) []:IT Common Name (eg, your name or server&#39;s hostname) []:internal.example.com # 内网域名或IP Email Address []:admin@example.com ``` #### 步骤 2:Nginx 配置(/etc/nginx/conf.d/internal.conf) ```nginx server { listen 9080 ssl; server_name internal.example.com; # 替换为内网域名或IP # 证书路径配置 ssl_certificate /etc/nginx/ssl/server.crt; ssl_certificate_key /etc/nginx/ssl/server.key; # SSL 优化参数 ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; ssl_prefer_server_ciphers on; # 代理设置 location / { proxy_pass https://fp.baiwang.com; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto https; # 目标服务器SSL设置 proxy_ssl_server_name on; proxy_ssl_verify off; # 测试时可关闭验证 } # 错误日志 error_log /var/log/nginx/internal_error.log; access_log /var/log/nginx/internal_access.log; } ``` #### 步骤 3:应用配置 ```bash # 测试配置语法 sudo nginx -t # 重载配置 sudo nginx -s reload ``` #### 步骤 4:客户端信任证书(以 Windows 为例) 1. 将 `server.crt` 复制到客户端 2. 双击证书文件 → 安装证书 → 本地计算机 3. 选择 "将所有证书放入下列存储" → 浏览 → 选择 "受信任的根证书颁发机构" 4. 完成导入 #### 验证方法 ```bash curl -k -v https://internal.example.com:9080 ``` 应看到 `fp.baiwang.com` 的响应内容 ### 关键配置说明 1. **证书参数**: - `-nodes` 参数避免私钥加密(否则 Nginx 每次启动需输密码) - `rsa:2048` 提供足够的安全强度[^1] - 内网域名(Common Name)必须与访问地址一致 2. **SSL 优化**: - `ssl_session_cache` 减少 SSL 握手开销 - `TLSv1.2/1.3` 禁用不安全的老旧协议[^3] - 优先使用 ECDHE 密钥交换算法(前向保密) 3. **代理注意事项**: - `proxy_ssl_server_name on` 传递 SNI 信息[^2] - `X-Forwarded-Proto` 标记原始协议为 HTTPS - 生产环境应启用 `proxy_ssl_verify` 并配置 CA 证书 ### 相关问题 1. 如何为多个内网域名生成 SAN(主题备用名称)证书? 2. Nginx 代理 HTTPS 服务时出现 502 错误如何排查? 3. 如何配置客户端证书验证实现双向 SSL 认证? 4. 自签名证书过期后如何无缝更新不影响服务? 5. 如何通过 Let&#39;s Encrypt内网服务申请免费证书? > 配置要点:自签名证书中的 `.crt` 文件包含公钥信息,`.key` 是必须保密的私钥文件[^3]。对于内网使用,建议将证书有效期设置为 5-10 年(`-days 3650`),并通过组策略将证书批量部署到所有客户端。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值