SSL 证书 | 免费获取与自动续期全攻略

前言

随着互联网的不断发展,网站的安全性越来越受到人们的关注。

SSL证书 作为一种保障网站安全的重要手段,已经成为了许多网站的必备配置。

以前阿里云每个账号能生成二十个期限 1 年的免费 SSL 证书,一直用,还挺香,证书快过期的时间还有邮件提醒。但今年,阿里云的免费 SSL 证书变成了 3 个月,而且加短信、邮件提醒还要收费。

这让一直用免费证书的人怎么接受?

所以开始找替代方案。

果然,功夫不负有心人,在 Github 上找到一个工具:Cerbot

Certbot 是 Let's Encrypt 官方提供的一个用于申请和配置 SSL 证书的工具。

免费,证书来源靠谱,且自动续期,完美。

本文主要分享 Ubuntu20.04 云原生系统环境下的部署。

准备工作

1. 准备一台云服务器

这里测试用 Ubuntu20.04。

2. 服务器安全组开放 80 和 443 端口

在配置 Let's Encrypt SSL 证书之前,需要确保服务器的80和443端口已经打开。

这两个端口分别是 HTTP 和 HTTPS 的默认端口,是 SSL 证书配置的必要条件。

3. 准备需要 SSL 证书加密的域名

注意:云服务在国内的话一定要先将域名备案。

  1. 将域名解析到服务器公网 IP

如果主域名 和 www 子域名对应的两个域名都要自动配置 SSL 证书,需要把 @ 和 www 都解析到服务器的公网 IP。

安装 Cerbot

在 Ubuntu 服务器上,可以通过以下命令安装 Certbot:

复制代码
sudo apt update
sudo pip3 install --upgrade pip setuptools
sudo pip3 install --upgrade requests_toolbelt urllib3 
sudo apt install certbot python3-certbot-nginx

安装好 Certbot 后,就可以通过以下命令获取 Let's Encrypt 的 SSL 证书:

复制代码
sudo certbot --nginx -d example.com -d www.example.top

这个示例中,-d 指证书要包含的域名。

这里测试证书包含了 example.com、www.example.top 两个域名。

执行这个命令后,也会自动生成自动更新任务。

自动任务由 systemd 的定时器管理,不是 cron,如下检查:

bash 复制代码
root@iZf8z5b1hu0l3j5h8hw261Z:/etc/nginx/conf.d# systemctl list-timers | grep certbot 
Fri 2024-08-02 02:48:17 CST 12h left n/a n/a certbot.timer certbot.service

检查是否安装正常

检查自动续期是否正确设置,并且工作正常,响应如下:

bash 复制代码
root@iZf8z5b1hu0l3j5h8hw261Z:/etc/nginx/conf.d# sudo certbot renew --dry-run 
Saving debug log to /var/log/letsencrypt/letsencrypt.log
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 
Processing /etc/letsencrypt/renewal/pokenote.top.conf 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 
Simulating renewal of an existing certificate for pokenote.top and www.pokenote.top 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 
Congratulations, all simulated renewals succeeded: 
/etc/letsencrypt/live/pokenote.top/fullchain.pem (success) 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
相关推荐
FIavor.29 分钟前
怎么办这是Apifox里执行http://localhost:9002/goods/getByUserName?name=“张三“为什么我改了还是500?
java·网络·网络协议·http
mit6.82433 分钟前
[cpprestsdk] http_client_config | GET | request()
网络·网络协议·http
00后程序员张1 小时前
tcpdump 抓包分析,命令、过滤技巧、常见症状定位与移动真机补充方案
网络·测试工具·ios·小程序·uni-app·iphone·tcpdump
李辰洋3 小时前
STP配置
运维·服务器·网络
九河云3 小时前
如何选择适合的加密方法来保护云计算中的数据
网络·科技·物联网·金融·云计算
码不停蹄Zzz3 小时前
xdma IP使用教程1-xdma ip核配置
网络协议·tcp/ip·fpga开发
潇凝子潇4 小时前
网络协议的零拷贝 和 操作系统的零拷贝异同
网络·网络协议
RTC老炮5 小时前
webrtc弱网-BitrateEstimator类源码分析与算法原理
网络·人工智能·算法·机器学习·webrtc
悟能不能悟5 小时前
用cmd命令修改适配器ip
网络·tcp/ip·github
Jul1en_5 小时前
HTTP初识(二)
网络·网络协议·http