使用Let's Encrypt搭建永久免费的HTTPS服务

1.概述
1.1 HTTPS概述
HTTPS即HTTP + TLS,TLS 是传输层加密协议,它的前身是 SSL 协议。我们知道HTTP协议是基于TCP的。简而言之HTTPS就是在TCP的基础上套一层TLS协议,对HTTP原来在TCP明文传输的内容进行加密,达到安全的目的。

HTTP 和 TLS 在协议层的位置以及 TLS 协议的组成如下图:

目前很多网站都启用了HTTPS,这肯定是未来的趋势。而且一些场景必须使用HTTPS协议的,比如微信公众号的某些功能、小程序接入H5等等。
详情参考:https://developer.baidu.com/resources/online/doc/security/https-pratice-1.html
1.2 Let’s Encripty介绍
Let’s Encrypt是一个非盈利的,免费的CA,可以提供免费HTTPS认证服务。
提供了一套完整的工具,基于这套工具,我们可以免费来搭建HTTPS 网站。
详情参考:https://letsencrypt.org/
1.3 Ssllabs介绍
Ssllabs可以提供对https部署进行安全监测,评价的服务。
详情参考:https://www.ssllabs.com/ssltest/analyze.html

2.Let’s Encrypt部署HTTPS服务
2.1 为什么使用Let’s Encrypt
国内有许多机构可以提供免费的SSL证书,但是一般只有一年的免费服务。而且基于cron可以实现定时更新证书,从而实现永久免费的目的。

2.2 安装Let’s Encrypt
第一步:安装git
因为后面需要使用从github拉取安装文件。
yum install git

第二步:获取letencrypt安装代码
cd /home
git clone https://github.com/letsencrypt/letsencrypt.git

letsencrypt就是从github下载下来的安装代码;


certbot-auto 是主要的安装命令。
第三步:签发SSL证书和密钥文件
./certbot-auto centonly --renew-by-default --email [email protected] -d digdeep.diantusoft.com

可以看到使用standalone模式对 域名 digdeep.diantusoft.com 签发SSL证书成功。需要注意,standalone模式会使用本服务器的80端口来完成域名所有权的校验。所以需要保证80端口和443端口没有被占用。
standalone是一个独立的服务,可以看作是一个小型的webserver,它使用80或443端口来和letsencrypt服务器进行通信。因此,在使用standalone获取证书时,需要关闭正在运行的webserver,除非webserver使用的是80端口和443端口之外特殊的端口。

在完成Let‘s Encrypt证书的生成之后,我们可以看到生成的密钥证书文件:

cert.pem - Apache服务器端证书
chain.pem - Apache根证书和中继证书
fullchain.pem - Nginx所需要ssl_certificate文件
privkey.pem - 安全证书KEY文件
如果我们使用的Nginx环境,那就需要用到fullchain.pem和privkey.pem两个证书文件,在部署Nginx的时候需要用到。
第四步:配置nginx启用SSL

第五步:测试https

如何nginx –s reload 没有加载证书,则重启Nginx.

可以看到https访问正常。
2.3 证书续期
Let’s Encrypt证书的有效期为90天,过期时需要手动更新续期。
下面我们是有cron来进行定期更新:

在每个月的1号,1点30分进行证书的更新;
在每个月的1好,1点35分重启nginx,使用新的证书;

2.3 对证书安全性进行测试
https://www.ssllabs.com/ssltest/analyze.html 访问这个网址,输入域名:
digdeep.diantusoft.com就可以进行测试,测试结果:

可以看到A级,是很好的安全级别。
这个测试结果还包括其他有用的信息:
1. TLS版本支持信息


2. 模拟不同客户端进行测试,测试兼容性信息:

可以看到不支持 XP下面的IE8,对XP的IE6没有进行测试。

3.参考文档
1. https://developer.baidu.com/resources/online/doc/security/https-pratice-1.html
2. https://letsencrypt.org/
3. https://www.ssllabs.com/ssltest/analyze.html

使用Let's Encrypt搭建永久免费的HTTPS服务

原文地址:https://www.cnblogs.com/digdeep/p/10658335.html

时间: 2024-11-09 06:32:05

使用Let's Encrypt搭建永久免费的HTTPS服务的相关文章

酷播云永久免费的云服务产品,很赞的跨平台功能

免费的酷播云使用操作步骤(四步轻松完成): 01:注册帐号:http://v.cuplayer.com 02:上传视频,支持avi,mpg,wmv,mkv,mp4,flv,mov等各类视频格式 03:获取代码,用户上传后,就可以获得视频的播放代码 04:添加使用,将代码添到用户自己的网页中,就完成了. 最终的观看效果,用户可以用PC.安卓手机.苹果手机.微信,都可以观看,是不是很酷播. 更酷的是,产品永久免费的 酷播云获取代码

搭建HTTP/HTTPS服务

1.建立httpd服务器(基于编译的方式进行),要求: 提供两个基于名称的虚拟主机: (a)www1.itab.com,页面文件目录为/web/vhosts/www1:错误日志为/var/log/httpd/www1.err,访问日志为/var/log/httpd/www1.access: (b)www2.itab.com,页面文件目录为/web/vhosts/www2:错误日志为/var/log/httpd/www2.err,访问日志为/var/log/httpd/www2.access: (

快手 aauto ---专用于桌面软件快速开发,永久免费

快手 aauto  ---专用于桌面软件快速开发,永久免费 1.http://www.aardio.com/ 2.http://www.foxtable.com/

我为大家分享永久免费空间 云专家

我为大家分享永久免费空间 云专家, 这是一个真正提供免费空间的站点 并且支持ASP\PHP\数据库哦 详情登陆 http://www.228986.com/ 记住云专家啊 (liang530)

【优维科技】EasyOps永久免费社区版正式发布 诚邀您体验!

尊敬的用户: 您好! 非常感谢您一直以来对优维科技的支持和信赖. 我公司将于8月1日正式推出永久免费的EasyOps社区版,现诚邀您注册使用. 优维科技团队 2016年8月 EASYOPS社区版 EASYOPS社区版是一款面向企业IT系统的智能运维管理平台. 主要针对初创和小型企业用户,通过提供永久免费.即装即用的自动化运维管理平台,帮助这些企业快速构建自身服务器系统的自动化运维能力. 产品特点 一键化安装,简单易用: 可视化管理,快速上手: 可靠的通道,高效稳定: 混合云管理,全面覆盖: 插件

用letsencrypt搭建免费的https网站

环境:阿里云服务器centos7.3,nignx,letsencrypt做免费的https证书 Let's Encrypt官网:https://letsencrypt.org/ 1.服务器开放端口:443,80(服务器防火墙和阿里云控制台都要开放这两个端口,如果没有开放后面设置域名时,会报错连接域名超时的) 2.安装一个nginx,并且测试下可以访问吗,访问个主页试试 3.准备做完了我们开始安装,从服务器上面获取证书: $ git clone https://github.com/letsenc

号外:java基础班教材永久免费 报名就送

曾经万人疯抢的成都传智播客java基础班教材,今日免费赠送,你hold的住吗? 由成都传智播客传道授业解惑的诸位老师,精心制作的教材,现在免费赠送,你能接的住吗? 书是交融感情.获得知识.传承经验的重要媒介; 书记载着智者的智慧,传智播客作为it培训行业的引路人,出版了不少书籍,对it行业产生了深远影响-- 日前,成都传智播客高层召开"听证会",与会人员就"java基础班教材免费赠送"一事展开了激烈讨论.今日,讨论结果震撼出炉,成都传智播客向广大IT学子郑重宣布:即

如何在github上搭建一个免费的 无限流量的静态网页博客Github pages

前言: 看到很多相关的教程,但是在实际操作的时候还是遇见了不少问题,这里记录分享一下我的操作流程.免费空间用过很多,博客也用过一些,听说了github后就想试着玩一下这个静态库,感觉挺不错的,操作也比较简单,可以放些demo觉得挺不错的,看自己的喜好来搭建吧~本文原创博客地址:http://www.cnblogs.com/unofficial官网地址:www.pushself.com) 1.注册github.com账户,具体操作不描述了,英文如果不是很好可以使用翻译软件 2.新开一个一个仓库(N

在线图书API开放接口(永久免费开放)

自己在业余时间开发了一个健康书籍的网站   (book.yi18.net) 该网站是医药吧网(www.yi18.net)旗下 的一个关于健康.医学.医药.生活.减肥--相关的生活知识性书籍.现在网站收集的两千多本电子图书. 而且图书完全是文字并非图片,pdf扫描等. 健康图书API: http://doc.yi18.net/bookapidoc 现在主要有如下的功能: 1.取得图书分类 http://api.yi18.net/book/bookclass 2.取得分类下的图书 http://ap