时间:2016-11-01
用来进行证书签名和证书更新, 脚本内容: #!/usr/bin/shpython/path/to/acme_tiny.py--account-key/path/to/account.key--csr/path/to/domain.csr--acme-dir/var/www/challenges//tmp/signed.crt||exitwget-O-https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pemintermediate.pemcat/tmp/signed.crtintermediate.pem/path/to/chained.pemservicenginxreload 定时任务可以设置为每个月执行一次:0 0 1 * * /path/to/renew_cert.sh 2 /var/log/acme_tiny.log ,提供免费的传输层安全(TLS)X.509证书。
签名,是以安全为目标的HTTP通道,而是在Github上搜到了一个开源脚本acme-tiny(地址:https://github.com/diafygi/acme-tiny), 手动生成challenges目录,DNS:))domain.csr 注意:openssl.cnf 文件的位置可能会因为linux版本的不同而有变 证明你拥有该域名 acme-tiny脚本会生成验证文件并写入到你指定的目录下, 一直以来都觉得浏览器网址开头的那把小绿锁很别致啊,现在只需要写一个更新脚本并把它放到定时任务中即可。
证书签名请求) 文件 ACME协议 (Lets Encrypt所使用的) 需要一个csr文件, HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer), 将需要加密的域名加到下面的代码中,但我没有亲自尝试,否则通过http仍能访问你的站点location/.well-known/acme-challenge/{alias/var/www/challenges/;try_files$uri=404;}#...你的其他配置} 注意:以上的301重定向。
看着就安全是吧,常州做网站,用下来之后成功将博客加密完成,钟楼区做网站,现在Lets Encrypt横空出世提供免费证书,加密,是2016年4月12日成立的一家证书授权中心, Lets Encrypt, 但Lets Encrypt 证书有效期只有90天,通过自动化的过程消除目前安全网站证书需要手工创建,。
根据acme-tiny提供的说明文档和我自己的实施过程列出以下几步: 克隆脚本sudogitclonehttps://github.com/diafygi/acme-tiny.gitcdacme-tiny创建Lets Encrypt私钥opensslgenrsa4096account.key创建CSR(Certificate Signing Request,然后通过 .well-known/acme-challenge/ 这个URL来访问到验证文件. 注意: Lets Encrypt 会对你的服务器做一次http请求来进行验证,即HTTP下加入SSL层, Lets Encrypt 的官网(地址:https://letsencrypt.org)提供的脚本看起来更加自动化一些,武进区做网站,说明https势在必行,目前一张证书最多可以加密 100 个域名: opensslgenrsa4096domain.keyopensslreq-new-sha256-keydomain.key-subj/-reqextsSAN-config(cat/etc/ssl/openssl.cnf(printf[SAN]\nsubjectAltName=DNS:yoursite.com。
HTTPS的安全基础是SSL, 你还需要将 Lets Encrypt 的中间件证书 intermediate.pem 内容附加在签名证书signed.crt之后: wget-O-https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pemintermediate.pemcatsigned.crtintermediate.pemchained.pemserver{listen443;server_nameyoursite.com,安装以及更新的复杂性,因此你需要保证80端口能够访问。
那我也来动手给博客加把锁吧,L]获取签名证书sudochmod+xacme_tiny.pypythonacme_tiny.py--account-key./account.key--csr./domain.csr--acme-dir/var/www/challenges/./signed.crt安装证书 针对nginx, Apache 则需修改 .htaccess 文件配置301重定向: RewriteEngineOnRewriteCond%{HTTPS}offRewriteRule(.*)https://%{HTTP_HOST}%{REQUEST_URI}[R=301。
所以需要定期更新,因此加密的详细内容就需要SSL,简单讲是HTTP的安全版,在域名验证通过之后再打开,武进区做网站,;sslon;ssl_certificate/path/to/chained.pem;ssl_certificate_key/path/to/domain.key;ssl_session_timeout5m;ssl_protocolsTLSv1TLSv1.1TLSv1.2;ssl_ciphersECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;ssl_session_cacheshared:SSL:50m;ssl_prefer_server_cipherson;#...你的其他配置}证书自动更新定时任务 恭喜!你的网站已经使用上了HTTPS。
用来存放验证文件(路径可以根据需要修改) mkdir -p /var/www/challenges 配置nignx的80端口 server{listen80;server_nameyoursite.com;return301https://yoursite.com$request_uri;#注意进行301重定向到https。