生成线上用https证书,支持通配符和多域名,初学Let’s Encrypt用于IIS,纯本地手动

自简书发布的上篇《生成本地测试用https证书,支持通配符和多域名,初学OpenSSL》以来,本地测试用https用的妥妥的。

线上一直用的腾讯云的免费证书(每个域名都要一个证书(滑稽),今天线上用的通配符证书也搞定了,实现了一个证书包含多个域名(多个泛域名)。

今年(2018)年初Let’s Encrypt已开放了通配符证书的申请《Wildcard Certificates Coming January 2018》,目前只支持通过dns解析进行验证。没有通配符的证书时在心里感觉用起来会很累,一直没有去尝试。以前AlphaSSL的通配符证书倒是可以免费申请,assl.loovit.net都已经跳转到别的地方了。现在可以勇敢的去用Let’s Encrypt的通配符证书了。

官方并没有简单易用的客户端

申请环境:本地(线上不乱搞),win7+Win32OpenSSL

Let’s Encrypt提供的客户端列表包括开源实现《ACME Client Implementations》,电脑上能装上的基本上都试了一下(捆绑生产环境的软件不鸟),好几个依赖高版本的.Net(勉为其难的装了一下),始终没搞懂怎么耍,入门到放弃。然后用C#调用了一个封装好的接口试了一下,目测工作量也不小,入门到放弃。

Let’s Encrypt 使用吐槽》这里面说的比较赞同的一点这才是你真正需要的 acme-client ,只干申请证书这一件事的脚本。哈哈,其实发现申请证书只是简单的调用几个api.letsencrypt.orgRESTful接口,并且都含有响应头Access-Control-Allow-Origin:*,就不去研究他们的文档了,因为翻了一般官网,并没有发现哪里有这种直接了当的文档。

Let’s Encrypt提供的网页客户端列表中的Get HTTPS for free https://gethttpsforfree.com/就是直接使用的接口,这个网站声称This website is static, so it can be saved and loaded locally. Just right-click and "Save Page As.."! 查看代码确实是一个静态网站。其他几个网页客户端也稍微试了一下,有些要注册还主动帮你管理证书(不鸟)。其实一个静态网页也能够实现证书的申请,还不用下载安装各种环境,比较靠谱。

使用Get HTTPS for free申请证书

地址https://gethttpsforfree.com/
这个页面使用起来很方便,因为该提示的地方都有提示,按照提示做没有压力,顺利申请到了两个域名合在一起的证书。

主要要手动做的事情:

  1. 创建两个秘钥,一个账户秘钥,一个域名证书秘钥(2048位,这个网站写4096位感觉有点大,百度和Let’s Encrypt都是2048位)
  2. 创建证书申请请求
  3. 多次进行文本内容签名(用账户秘钥)

*. 申请好的证书制作成pfx文件导入IIS (我用IIS是要这一步的)

这些步骤都可以用脚本去处理,点一下->复制粘贴,手动也不比自动差(其实也没有便捷的全自动,dns验证还是要手动写入TXT记录)

使用到的脚本

下面这些文件全部是在同一个文件夹里面:
1.创建秘钥.cmd,2.生成请求.ini,2.生成请求.cmd,3.签名.cmd,3.签名.txt,4.导出.cmd

文件名:1.创建秘钥.cmd

@echo off

set /p isSet=创建秘钥会覆盖现有秘钥,确定要创建吗?(y)
if not "%isSet%"=="y" goto end

echo 创建账户秘钥
openssl genrsa -out key.account.private 2048
openssl rsa -in key.account.private -pubout -out key.account.public

echo 创建证书秘钥
openssl genrsa -out key.domain.key 2048

:end
echo 结束
pause

文件名:2.生成请求.ini
这个文件是OpenSSL安装目录中的配置文件,copy过来改一下名字就行了,然后在文件结尾添加下面内容,域名自己加(泛解析的要把一级域名加上,不加他们会不会自动加不知道,目测不会自动加)

[ ext ]
subjectAltName = @dns

[ dns ]
DNS.1 = baidu1.com
DNS.2 = *.baidu1.com
DNS.3 = baidu2.com
DNS.4 = *.baidu2.com

文件名:2.生成请求.cmd

@echo off

set /p isSet=需要先配置域名列表"2.生成请求.ini",配置好了吗?(y)
if not "%isSet%"=="y" goto end

echo 生成请求
openssl req -new -sha256 -key key.domain.key -out domain.csr -subj "/" -reqexts ext -config 2.生成请求.ini

:end
echo 结束
pause

文件名:3.签名.cmd

@echo off

set /p isSet=需要先写入"3.签名.txt",写好了吗?(y)
if not "%isSet%"=="y" goto end

openssl dgst -sha256 -hex -sign key.account.private 3.签名.txt

:end
echo 结束
pause

文件名:3.签名.txt
这个文件是一个空文件,到时候有需要签名的数据复制进来运行一下签名.cmd就能快速获得签名。

文件名:4.导出.cmd

@echo off

echo 导出pfx,请输入密码1
pause
openssl pkcs12 -export -out domain.pfx -inkey key.domain.key -in domain.crt

:end
echo 结束
pause

申请制作过程

  1. 所有文件准备好后(尤其是2.生成请求.ini把域名配置好),直接运行1.创建秘钥.cmd,然后直接运行2.生成请求.cmd
  2. 把生成的key.account.public填入网页Account Public Key中。
  3. 把生成的domain.csr填入网页Certificate Signing Request中。
  4. 根据网页提示签名请求,每次签名的时候:把文本复制到3.签名.txt(只要引号里面的文本内容,其他内容删除),然后运行3.签名.cmd得到签名,把RSA-SHA256(3.签名.txt)= XXXXX复制XXXXX到网页对应位置。
  5. 根据提示设置域名dns TXT解析,并完成验证。(检测txt是否生效方法见:https://www.cnblogs.com/kevin860/p/11216011.html
  6. 把最后一步生成的证书内容全部复制到新建的文件domain.crt中,域名证书就获取成功啦。
  7. 额外的生成IIS用的pfx文件,运行一下4.导出.cmd设置一下密码就行了,我提示输入1作为密码,是因为我懒(滑稽。

秀一波

证书域名

有效期

涉及到的文件

原文地址:https://www.cnblogs.com/kevin860/p/11216019.html

时间: 2024-10-21 20:17:04

生成线上用https证书,支持通配符和多域名,初学Let’s Encrypt用于IIS,纯本地手动的相关文章

https证书申请流程和简介

HTTPS证书是什么 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版.即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL. 它是一个URI scheme(抽象标识符体系),句法类同http:体系.用于安全的HTTP数据传输.https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(

快速定位iOS线上BUG在哪个控制器崩溃

快速定位iOS线上BUG在哪个控制器崩溃 快速定位iOS线上App崩溃在哪个控制器里面,需要和后台配合使用 下载本项目并添加手动添加到项目里 新建所有的页面都继承于YZViewController 在AppDelegate的didFinishLaunchingWithOptions方法里面写下如下代码: if ([[[NSUserDefaults standardUserDefaults] valueForKey:@"BUG"] isKindOfClass:[NSDictionary

【MySQL 线上 BUG 分析】之 多表同字段异常:Column ‘xxx’ in field list is ambiguous

一.生产出错! 今天早上11点左右,我在工作休息之余,撸了一下猫.突然,工作群响了,老大在里面说:APP出错了! 妈啊,这太吓人了,因为只是说了出错,但是没说错误的信息.所以我赶紧到APP上看看. 这果然是出错了,而且还是简单而粗暴的500,太吓人了. 二.本地赶紧调试起来! 既然线上出错了,我们又不能直接进行调试,那当然得马上在本地搞起来了! 1.代码是否有错? 立马启动本地的项目,访问对应的接口,看看是不是代码哪里出错了. 好了,本地的代码和 SQL 都是没错的! 2.SQL 是否有错? 那

Fiddler调试线上JS代码

强力推荐一款js调试神器,Fiddler 大家平时肯定都用过火狐的Firebug或者谷歌的调试工具来调试JS,但遗憾的是我们不能像编辑html,css那样来直接新增或者删除JS代码. 虽然可以通过调试工具的控制台来动态执行JS代码,但有时候却远远不够用. 特别是当产线环境不能随意修改文件情况下,用线上环境来调试本地代码更是迫切的需求. (往往本地测试通过,上线后却是各种bug.) 今天分享一下如何用Fiddler来修改并调试线上的JS代码. 以博客园首页为例子,用我本地的一个js文件来替换它的一

免费生成https证书以及配置

http升级到https需要在nginx的配置中加入证书信息,查询资料后确定生成证书两种方案 第一种:自签名证书,然后开启 CloudFlare 的 CDN 服务 //确定是否安装openssl which openssl //如果没有安装,通过apt-get或者yum等方式安装即可 sudo apt-get install openssl //生成一个名为“ssl.key”的 RSA key文件:执行结果:生成ssl.pass.key 和 ssl.key openssl genrsa -des

https学习笔记三----OpenSSL生成root CA及签发证书

在https学习笔记二,已经弄清了数字证书的概念,组成和在https连接过程中,客户端是如何验证服务器端的证书的.这一章,主要介绍下如何使用openssl库来创建key file,以及生成root CA及签发子证书.学习主要参考官方文档:https://www.feistyduck.com/library/openssl-cookbook/online/ch-openssl.html# 一.openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用.健壮.功能完备

centos+nginx申请Let's Encrypt 通配符HTTPS证书

Let's Encrypt 宣布 ACME v2 正式支持通配符证书,并将继续清除 Web 上采用 HTTPS 的障碍,让每个网站轻松获取管理证书.消息一出,马上就有热心用户分享出了 Let's Encrypt 通配符 HTTPS 证书的申请方式,下面我们一起来学习下吧! 配置环境: 操作系统:Ubuntu 16.04.2 LTS 配置域名:tinywan.top 具体步骤 1.获取certbot-auto 1 2 3 4 5 # 下载 wget https://dl.eff.org/certb

申请Let’s Encrypt通配符HTTPS证书(certbot ACME v2版)

1.获取certbot-auto# 下载 # 下载 wget https://dl.eff.org/certbot-auto # 设为可执行权限 chmod a+x certbot-auto 2.开始申请证书客户在申请 Let’s Encrypt 证书的时候,需要校验域名的所有权,证明操作者有权利为该域名申请证书,目前支持三种验证方式: dns-01:给域名添加一个 DNS TXT 记录.http-01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件.t

HTTPS证书生成原理和部署细节

今天摸索了下 HTTPS 的证书生成,以及它在 Nginx 上的部署.由于博客托管在 github 上,没办法部署证书,先记录下,后续有需要方便快捷操作.本文的阐述不一定完善,但是可以让一个初学者了解大致的原理,同时跟着操作可以为自己的博客/网站部署一个 HTTPS 证书. 网站部署 HTTPS 的重要性 看看下面,部分电信用户访问京东首页的时候,会看到右下角有一个浮动广告: 小白用户以为是京东有意放置的,细心的用户会发现,这个 iframe 一层嵌一层的恶心广告很明显是电信/中间人通过 DNS