certbot配置免费证书

已于 2023-10-10 11:36:35 修改
阅读量1.9k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: nginx 服务器 运维
于 2023-05-18 22:47:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43110668/article/details/130756851
文章详细介绍了如何使用Certbot在CentOS7上为Nginx服务器获取和配置Let’sEncrypt的免费SSL/TLS证书,包括webroot方式的工作原理,Nginx的配置修改,以及证书的更新方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

certbot的官网地址:

https://certbot.eff.org/


1、制作证书前的准备:

你需要有一个公网地址,并绑定合法域名


2、开始制作:

(1)、下载Certbot客户端:

wget https://dl.eff.org/certbot-auto
1.
(2)、下载后,进入下载的目录,添加执行权限

chmod   a+x   ./certbot



3、介绍一下certbot的两种工作方式:

   (1)、 standalone 方式: certbot 会自己运行一个 web server 来进行验证。如果我们自己的服务器上已经有 web server 正在运行 (比如 Nginx 或 Apache ),用 standalone 方式的话需要先关掉它,以免冲突。

  (2)、webroot 方式: certbot 会利用既有的 web server,在其 web root目录下创建隐藏文件, Let’s Encrypt 服务端会通过域名来访问这些隐藏文件,以确认你的确拥有对应域名的控制权。


4、我使用的是webroot方式,自己搭建一个nginx服务器,配置location字段,如下:

        (1)、使用rpm安装nginx

sudo  yum  -y  install  nginx
1.
(2)、编辑nginx的配置文件,修改以下参数:

在http 段范围

certbot在Centos7上配置合法签名证书,实现nginx的https访问_签名证书 
有这么一段得,不然啊,生成不了证书,我也无语啊
server {
        listen 80;
        server_name  合法域名;

        location ^~/.well-known/acme-challenge/ {
            default_type "text/plain";
            root /etc/nginx/html/;
        }
}

(3)、修改完nginx配置文件后,使用nginx  -t命令,测试配置文件语法:

sudo  nginx   -t 

#返回OK  表示配置文件修改成功

(4)、启动nginx服务

sudo  nginx
netstat  -anplut  | grep  80    #检测80端口,是否在监听

(5)、使用certbot-auto命令,生成证书

./certbot certonly --webroot -w /usr/share/nginx/html/ -d  [填写合法域名的地址]

#-w   表示  nginx中指定的root 网站根目录的路径
#-w  后面的路径可能是 /etc/nginx/html.如果没有就创建这个路径

(6)、上述命令执行成功后,返回以下界面:

certbot在Centos7上配置合法签名证书,实现nginx的https访问_合法_02



从上图中可以看到,会在/etc/letsencrypt/live下 生成你的域名的文件夹,并且目录下会有此文件:

[centos@shuzhiyuan1 ~]$ tree /etc/letsencrypt/
/etc/letsencrypt/
├── accounts
│?? └── acme-v01.api.letsencrypt.org [error opening dir]
├── archive [error opening dir]
├── csr
│?? └── 0000_csr-certbot.pem
├── keys [error opening dir]
├── live
│?? └── kafeimao.com (别名,最终,看自己域名)
│??     ├── cert.pem -> ../../archive/kafeimao.com/cert1.pem
│??     ├── chain.pem -> ../../archive/kafeimao.com/chain1.pem
│??     ├── fullchain.pem -> ../../archive/kafeimao.com/fullchain1.pem
│??     ├── privkey.pem -> ../../archive/kafeimao.com/privkey1.pem
│??     └── README
├── options-ssl-apache.conf
├── options-ssl-nginx.conf
├── renewal
│?? └── kafeimao.com.conf
├── renewal-hooks
│?? ├── deploy
│?? ├── post
│?? └── pre
└── ssl-dhparams.pem

12 directories, 10 files



nginx的https 访问,需要用到 上述两个 pem的证书文件:



5、测试配置nginx支持https访问,测试 https的证书是否可用:

server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  kafeimao.com;
        ssl           on;
        ssl_certificate "/etc/letsencrypt/live/kafeimao.com/fullchain.pem";
        ssl_certificate_key "/etc/letsencrypt/live/kafeimao.com/privkey.pem";
#        ssl_session_cache shared:SSL:1m;
#        ssl_session_timeout  10m;
#        ssl_ciphers HIGH:!aNULL:!MD5;
#        ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;

        location / {
                root  /usr/share/nginx/html/kafeimao.com;
                index  index.html;
        }

        error_page 404 /404.html;
            location = /40x.html {
        }

        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
    }
  }


6、重载nginx服务;

sudo   nginx  -s  reload
1.


7、访问域名,测试https连接:

certbot在Centos7上配置合法签名证书,实现nginx的https访问_certbot_03



8、发现证书是可用的,值得祝贺,你已经成功了!  非常简单



总结:

    certbot默认注册的证书 ,有效期是90天, 需要更新证书

使用命令进行更新:

(1)、手动更新

./certbot  renew   -v

(2)、自动更新

./certbot  renew  --quiet  --no-self-upgrade

 在注册证书时,如果遇到此错误:

certbot在Centos7上配置合法签名证书,实现nginx的https访问_certbot_04



这个错误,跟命令中使用了webroot方式,(官网也推荐这种方式)所以,nginx里要配置正确的location字段,就是server中的配置;
使用 Certbot 自动获取和更新 Let‘s Encrypt SSL 证书
李赛赛的专栏
02-19 2809
🔎Certbot是一个由 EFF(电子前沿基金会)开发的自动化工具,用于获取和部署证书。它支持多种操作系统和Web服务器(如ApacheNginx等),并且能够自动配置服务器以使用SSL证书Certbot是一个强大且易于使用的工具,能够帮助用户轻松获取和更新证书。通过本文的介绍,你应该已经掌握了如何安装Certbot、获取SSL证书配置Web服务器以及设置自动更新。希望本文能帮助你更好地保护你的网站数据传输安全。如果你有任何问题或建议,欢迎在评论区留言讨论!Certbot 官方文档。
阿里云(域名解析) certbot 证书配置
TaLinBoy的博客
06-07 1285
1、命令:sudo certbot certonly -d “域名” -d “*.域名” --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory。2、进入/etc/letsencrypt/live/file.data-flop.com/,拿到ssl证书文件,配置到192.168.0.1地址的项目就可以了。2、配置域名-IP解析(项目使用的域名)1、配置域名SSL解析。
使用 Certbot 获取免费 HTTPS 证书:从零开始的 HTTPS 配置指南
四楼没电梯的专栏
05-28 1253
本文详细介绍了如何使用Certbot工具快速为网站配置免费的HTTPS证书。通过Let’s Encrypt提供的服务,无需付费即可获得安全证书,且Certbot自动化获取和续期流程极大简化了配置工作。文章从安装Certbot开始,逐步指导读者完成证书获取、Nginx服务器配置、HTTPS测试以及自动续期设置。针对常见问题提供了解决方案,并给出实用建议如备份证书和强制HTTPS跳转。该教程适合各类网站管理员,帮助快速实现网站安全升级,提升用户信任度和搜索排名。
使用Certbot申请免费 HTTPS 证书
我就是你毛毛哥的博客
07-24 415
certbot certonly -d *.替换自己的域名.com --manual --preferred-challenges dns 不用改配置自动生效。certbot certonly -d *.使用自己的域名替换.com --manual --preferred-challenges dns。certbot certonly -d 使用自己的域名替换.com --manual --preferred-challenges dns。百度其他的二级域名的泛域名为: *.baidu.com。
使用 CertbotNginx 自动配置 SSL 证书
越努力越幸运
11-27 1539
删除证书:sudo certbot delete --cert-name name_of_certificate。在写配置文件时只需写80端口,Certbot会自动添加443端口的监听以及SSL证书配置。列出所有Certbot管理的证书:sudo certbot certificates。运行Certbot自动安装SSL证书。PS: name_of_certificate替换为实际证书名称。s Encrypt会在证书失效前发邮件提醒。1.安装CertbotNginx插件。Certbot将自动与Let。
certbot客户端certbot-auto
02-22
通过wget https://dl.eff.org/certbot-auto无法下载的用户可以使用此文件。本文件从官网下载,原封不动。
CertBot
canghaiguzhou的专栏
04-17 1627
CertBot是一个ACME代理, ACME协议是一个证书自动管理环境的协议。以下引自维基百科:The Automatic Certificate Management Environment (ACME) protocol is a communications protocol for automating interactions between certificate authoritie...
【SSL】certbot获取免费证书
程序员王多余的个人博客
07-12 774
certbot+nginx获取免费证书免费给网站设置https
使用certbot实现免费ssl证书申请和自动续期工具安装和配置
u011585609的专栏
09-03 1044
申请SSL证书,第一种全自动,通过certbot nginx插件读取nginx配置,管理nginx实现ssl证书的申请、部署和续期;第二种通过手动申请证书,手动管理nginx ssl证书,通过crontab定时任务实现证书的自动续期;申请成功后,会在/etc/letsencrypt/live/{域名}/下生成证书一些文件。安装 certbot 以及 certbot nginx 插件。执行配置自动申请证书配置,中途会询问你的邮箱,如实填写即可。打开nginx配置文件并添加ssl证书地址。
Certbot 生成 SSL 证书配置自动续期
weixin_50848244的博客
09-12 1250
之前都是用阿里或者腾讯的免费证书,但是现在域名有点多,还不支持通配符所以根本就不够用,用这个先顶着,老板也是贼抠门,有问题直接沟通
使用Certbot配置SSL证书【ubuntu系统】
weixin_45314989的博客
04-20 1259
Step1:安装snapd【linux包管理工具】 sudo apt install snapd #安装snapd sudo snap install core #安装core sudo snap refresh core #刷新core Step2::安装certbot【一个开源免费的工具,为网站自动安装基于Let’s Encrypt服务的SSL证书】 sudo snap install --classic certbot #安装certbot sudo ln -s /snap/b
Certbot 自动化 SSL 证书安装颁发与配置
FaceThePast的博客
07-15 1227
Snap 是一种由 Canonical 开发的包管理工具,用于在 Linux 系统上安装、管理和更新应用程序。它提供了一种与系统依赖隔离的方式来打包应用程序,从而使软件的安装和升级变得更加简单和可靠。Certbot 是一个强大的工具,简化了获取和管理 SSL/TLS 证书的过程。它通过自动化验证和续期过程,确保你的网站始终使用最新的安全证书,提供安全的 HTTPS 连接。如果你运行一个网站或服务,使用 Certbot 和 Let’s Encrypt 来管理你的 SSL/TLS 证书是一个值得推荐的选择。
certbot
BiuBiuBiu___的博客
01-20 738
新版本cerbot和nginx结合 顺便一些多域名的思路 旧版本的cerbot现在已经没法用了 现在是用nginx插件cerbot方式来搞定nginx证书https 以前的服务器上已经有了一个域名 现在需要新增加一个域名顺便给这个域名增加证书https服务 1,安装nginxcertbot apt install nginx sudo add-apt-repository ppa:certbot/certbot sudo apt-get install python-certbot-ngi..
certbot 免费httos证书申请
aod83029的博客
08-06 1246
https://keelii.com/2016/06/12/free-https-cert-lets-encrypt-apply-install/ 转载于:https://www.cnblogs.com/zheh/p/9429281.html
阿里云服务器 使用Certbot申请免费 HTTPS 证书及自动续期
江湖行骗老中医
04-17 6279
Certbot是一款免费且开源的自动化安全证书管理工具,由电子前沿基金会(EFF)开发和维护,是在Linux、Apache和Nginx服务器配置和管理SSL/TLS证书的一种机制。Certbot可以自动完成域名的认证并安装证书
Certbot免费证书生成
weixin_42526326的博客
07-20 1201
Certbot 是一个由 Let’s Encrypt 项目提供的免费、开源的证书颁发工具,用于自动获取和配置 SSL/TLS 证书。请注意,上述步骤提供了 Certbot 生成免费证书的基本流程,并假设您已经安装并配置了适当的 Web 服务器。Let’s Encrypt 的证书有效期为 90 天,您需要定期更新证书以保持其有效性。对于更详细的资料和指南,建议查阅 Certbot 官方文档(https://certbot.eff.org/docs/)。您可以将该命令添加到定期执行的脚本中以进行自动更新。
windows和linux环境下cerbot生成https免费安全证书
jiulinghouxiao的博客
12-07 2237
2.使用dns添加后进行生成证书。1.使用访问文件权限来生成证书
certbot 服务器证书配置
changliangwl的专栏
12-13 615
certbot + nginx 服务器证书配置
在linux alphine通过certbot配置内网证书,通过ip访问https网页
最新发布
07-16
<think>我们正在使用Alpine Linux,并且需要通过Certbot为内网IP地址配置HTTPS证书。注意,Certbot默认要求域名,但我们可以使用IP地址的TLS证书(例如,通过ZeroSSL等支持IP的CA)。以下是步骤: 1. **安装Certbot**: 在Alpine Linux上,使用apk包管理器安装Certbot: ```bash apk add certbot ``` 2. **获取IP证书**: 由于Let's Encrypt不支持IP地址,我们需要使用支持IP的证书颁发机构(如ZeroSSL)。Certbot可以通过插件支持ZeroSSL。首先,安装必要的依赖: ```bash apk add py3-pip pip install certbot certbot-zerossl ``` 然后,使用ZeroSSL获取证书(需要注册ZeroSSL账户并设置API密钥): ```bash certbot certonly --standalone -d your.internal.ip.address --email your@email.com --zerossl --eab-kid YOUR_EAB_KID --eab-hmac-key YOUR_EAB_HMAC_KEY ``` 注意:`your.internal.ip.address`替换为内网IP(如`192.168.1.100`),`YOUR_EAB_KID`和`YOUR_EAB_HMAC_KEY`需要从ZeroSSL账户获取。 3. **配置Web服务器**: 假设使用Nginx配置SSL证书路径(证书通常保存在`/etc/letsencrypt/live/<your-ip>/`目录下): ```nginx server { listen 443 ssl; server_name your.internal.ip.address; ssl_certificate /etc/letsencrypt/live/your.internal.ip.address/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/your.internal.ip.address/privkey.pem; ... # 其他配置 } ``` 4. **处理内网访问问题**: Certbot的standalone模式会占用80和443端口,因此需要确保这些端口空闲。如果内网没有DNS解析,直接使用IP访问即可。 5. **自动续期**: 设置cron任务自动续期证书: ```bash echo "0 0 * * * certbot renew --quiet" >> /etc/crontabs/root ``` **注意**:使用IP地址的公开证书较少见,且可能受限于CA的政策。内网环境可考虑自签名证书或搭建私有CA(但需要客户端信任),但这里我们使用ZeroSSL提供公信证书。 §§相关问题§§ 1. 如果内网没有公网DNS解析,如何验证IP地址的所有权以获取证书? 2. 在Alpine Linux中,如何配置Nginx使用已获取的SSL证书? 3. Certbot续期时如何避免standalone模式与Nginx端口冲突? 4. 除了ZeroSSL,还有哪些证书颁发机构支持为IP地址颁发SSL证书? 5. 如何为内网中的多个IP地址配置通配符证书?</think>在Alpine Linux上通过Certbot为内网IP配置HTTPS证书的步骤如下: ### 配置步骤 1. **安装必要组件** 更新仓库并安装Certbot与Web服务器(以Nginx为例): ```bash apk update apk add certbot nginx ``` 2. **生成自签名证书(临时)** 使用OpenSSL创建基础证书(后续会被Certbot替换): ```bash openssl req -x509 -nodes -days 365 -newkey rsa:2048 \ -keyout /etc/ssl/private/nginx-selfsigned.key \ -out /etc/ssl/certs/nginx-selfsigned.crt \ -subj "/CN=Your_Internal_IP" ``` 3. **配置Nginx支持HTTPS** 编辑`/etc/nginx/nginx.conf`,添加SSL监听: ```nginx server { listen 443 ssl; server_name your_internal_ip; # 如 192.168.1.100 ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt; ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key; location / { root /var/www/html; } } ``` 重启服务:`nginx -s reload` 4. **通过DNS验证获取正式证书** 使用Certbot获取证书(需有公网域名): ```bash certbot certonly --manual --preferred-challenges dns \ -d yourdomain.com \ # 指向内网IP的公网域名 --register-unsafely-without-email ``` 按提示在域名DNS中添加TXT记录验证所有权 5. **配置内网HTTPS** 将生成的证书链接到Nginx: ```bash ln -s /etc/letsencrypt/live/yourdomain.com/fullchain.pem /etc/nginx/ssl/server.crt ln -s /etc/letsencrypt/live/yourdomain.com/privkey.pem /etc/nginx/ssl/server.key ``` 更新Nginx配置指向新证书后重启 ### 关键注意事项 1. **内网IP证书限制** - Let's Encrypt不支持直接为IP地址签发证书 - 必须通过公网域名解析到内网IP实现验证 2. **证书续期方案** 创建续期脚本`/etc/periodic/weekly/cert-renew`: ```bash #!/bin/sh certbot renew --nginx --quiet nginx -s reload ``` 添加执行权限:`chmod +x /etc/periodic/weekly/cert-renew` 3. **客户端信任配置** 在内网设备安装证书: ```bash # Alpine客户端 apk add ca-certificates cp /etc/letsencrypt/live/yourdomain.com/chain.pem /usr/local/share/ca-certificates/ update-ca-certificates ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值