使用Let‘s Encrypt 申请通配符证书

2024-06-24 02:04

本文主要是介绍使用Let‘s Encrypt 申请通配符证书,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

为什么不使用阿里云/腾讯云等公有云厂商提供的免费证书?


上篇介绍了从阿里云上面申请免费证书,有效期一年 为网站配置https证书

公有云提供的证书不支持通配符,只支持某个确定的解析。 不管是二级域名还是三级域名,只要是具体的确定的地址,都可以使用。

对于某个域名,如果DNS解析很少,如只有mail.abc.com,www.abc.com,blog.abc.com, 用公有云需要分别为其申请3个证书。

所以如果目前的域名解析不是太多,每年操作一次,也还可以。(注:据说现在有效期降为了三个月)

但很多场景下,公司业务很多,某个域名的A记录不可能只有这三两个,如qq.com, 可能下面有www.qq.com,qzone.qq.com, mail.qq.com,weixin.qq.com…等成百上千个

这时候就需要用到通配符证书,而公有云厂商大多并不支持申请免费的通配符证书,往往需要氪金


关于 通配符域名证书


通配符域名证书是什么? 和普通的证书比有什么区别?

通配符域名证书是一种用于保护多个子域名的 SSL/TLS 证书。它使用通配符字符(通常是星号 *)来表示一个或多个子域名的部分或全部。例如,一个通配符域名证书可以覆盖 *.example.com,这意味着它可以保护诸如mail.example.com、blog.example.com和www.example.com等子域名。

与普通的证书相比,通配符域名证书具有以下区别:

  1. 覆盖多个子域名:通配符域名证书可以覆盖一个顶级域名下的多个子域名,而普通证书只能保护一个具体的域名。

  2. 灵活性和便利性:使用通配符域名证书可以简化证书管理过程。相比为每个子域名单独购买和配置证书,只需使用一个通配符证书即可涵盖所有需要保护的子域名。

需要注意的是,通配符域名证书只能覆盖一个级别的子域名。例如,*.example.com 可以保护 mail.example.com、blog.example.com,但无法保护 mail.server.example.com。如果需要保护多级子域名,可能需要考虑使用泛域名证书(Wildcard Certificate)。

【技术种草】如何免费申请通配SSL证书

通配符域名证书都支持哪些域名?

再次确认,阿里云的通配符域名需要收费!

即 **多次申请过免费SSL证书,(当时)有效期一年,看起来只能针对单个具体地址。

没觉得这玩意多复杂,有收费的通配符域名,只要氪金,以为整个域名,不管三级四级五级,申请一个证书就可以。

即便使用通配符证书,也只能作用于某一级的,比如想要 *.qq.com一个证书涵盖这个域名下所有二级,三级,四级域名,是做不到的(可能是出于安全目的故意这样规定?),只能覆盖全部xxx.qq.com,而对yyy.xxx.qq.com起不到作用


Let’s Encrypt


前面说到公有云一般不提供免费的通配符证书,但还是有一些赛博菩萨,提供这样的免费服务。其中Let’s Encrypt是最知名的之一,甚至有人认为,https的推广普及,其功不可没。

Let’s Encrypt 通过免费、自动化的方式推动了网站的加密普及,提供了简单、安全和可靠的 SSL/TLS 证书解决方案,为用户提供更安全的网络体验。


Let’s Encrypt 是什么?有何作用?

Let’s Encrypt 是一个免费、自动化的证书颁发机构(Certificate Authority,简称 CA),旨在为网站提供免费的 SSL/TLS 证书。它于2015年成立,由 Electronic Frontier Foundation(EFF)、Mozilla Foundation、University of Michigan 等组织共同支持。

Let’s Encrypt 的目标是通过简化证书颁发流程,推动整个互联网的加密普及。传统的 SSL/TLS 证书需要手动申请、验证身份、付费并进行周期性续签,这给网站管理员带来了一定的复杂性和成本。而 Let’s Encrypt 采用了自动化的证书颁发流程,可以方便快速地获取和更新证书。


Let’s Encrypt 的作用包括:

  1. 提供免费的 SSL/TLS 证书:Let’s Encrypt 提供了免费的数字证书,使得网站管理员可以轻松地为其网站启用加密连接,实现安全传输和数据保护。

  2. 促进网站加密普及:由于免费且易于使用,Let’s Encrypt 在推动整个互联网的加密普及方面发挥了重要作用。更多的网站采用 SSL/TLS 加密可以提升用户隐私和数据安全,减少网络攻击和信息泄漏的风险。

  3. 自动化证书管理:Let’s Encrypt 提供了一套自动化的证书颁发流程和工具,使得证书的申请、验证和更新变得简单和便捷。通过使用 Let’s Encrypt 提供的 ACME 协议,可以实现证书的自动续签,减少了证书管理的负担。

申请及使用


参考 申请 Let’s Encrypt 通配符 HTTPS 证书

根据不同系统,安装certbot

brew install certbot

或者

sudo apt-get install certbot

Certbot是一个由Let’s Encrypt官方提供的免费开源的工具,它可以帮助用户自动化地获得、续期和部署SSL/TLS证书。 Certbot支持多种Web服务器,包括Apache、Nginx、Caddy等,用户可以使用Certbot来自动化地安装和配置SSL/TLS证书,以提高网站的安全性。


certbot -d n.dashen.tech(你要申请的证书,其实这里完全可以写*.dashen.tech) --manual --config-dir config --work-dir work --logs-dir logs --preferred-challenges dns certonly

其中,

  • --manual:指定使用手动方式进行域名验证。这意味着 certbot 将会提示用户手动添加 DNS TXT 记录或 HTTP 文件来验证域名所有权。这通常需要一定的技术知识和操作技巧。

  • --config-dir config:指定 certbot 的配置文件目录为 config。在该目录下,certbot 将会保存证书和其他配置信息。

  • --work-dir work:指定 certbot 的工作目录为 work。在该目录下,certbot 将会生成临时文件和其他工作文件。

  • --logs-dir logs:指定 certbot 的日志文件目录为 logs。在该目录下,certbot 将会保存运行日志和其他信息。

  • --preferred-challenges dns:指定首选的验证方式为 DNS 验证。这意味着 certbot 将会使用 DNS TXT 记录来验证域名所有权。

  • certonly 参数表示只获取证书,而不进行证书安装。如果要同时获取证书和安装证书,可以使用 run 命令代替 certonly 命令。


按提示来即可~

中间需要去域名注册商管理后台,在你的域名下增加一条TXT解析,做验证用,证明这域名属于你---一般有两种验证方式(称为Challenge),HTTP方式和DNS方式,增加TXT属于DNS方式。

(其实还有一种TLS-SNI-01的验证方式,目前用的不多,更多可参考 验证方式
)


再修改一下nginx配置,之后 ./nginx -s reload

(如果使用K8s,则创建新的secret,并编辑相应的ingress)


其实还有一个和Let’s Encrypt 差不多的,叫TrustAsia,也有些知名度

6家免费的SSL证书服务商

SSL证书系列–Let’s Encrypt和TrustAsia哪个好?

从 Let’s Encrypt 证书换成TrustAsia 证书的操作过程及注意事项


续期


Let’s Encrypt证书有效期只有90天,需要注意续约。 在离到期时间还有不到30天时,就可以进行此操作。

一般可以使用certbot,并借助crontab自动续期…详情可参考下面两篇文章

(一般certbot最好就安装在这个网站的机器上,而不是在另外一台机器上申请到证书,再传上去,进行配置,这样不好自动化)

Let’s Encrypt请求证书、续订与定时续订

Certbot对免费Let’s Encrypt证书的续期

但为了稳妥起见,最好还是通过监控的方式,当证书有效期低于某个时间时,告警出来,再去手动或自动更新证书。


这篇关于使用Let‘s Encrypt 申请通配符证书的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


原文地址:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/1088877

相关文章

使用Python自建轻量级的HTTP调试工具

《使用Python自建轻量级的HTTP调试工具》这篇文章主要为大家详细介绍了如何使用Python自建一个轻量级的HTTP调试工具,文中的示例代码讲解详细,感兴趣的小伙伴可以参考一下... 目录一、为什么需要自建工具二、核心功能设计三、技术选型四、分步实现五、进阶优化技巧六、使用示例七、性能对比八、扩展方向建

使用Python实现一键隐藏屏幕并锁定输入

《使用Python实现一键隐藏屏幕并锁定输入》本文主要介绍了使用Python编写一个一键隐藏屏幕并锁定输入的黑科技程序,能够在指定热键触发后立即遮挡屏幕,并禁止一切键盘鼠标输入,这样就再也不用担心自己... 目录1. 概述2. 功能亮点3.代码实现4.使用方法5. 展示效果6. 代码优化与拓展7. 总结1.

使用Python开发一个简单的本地图片服务器

《使用Python开发一个简单的本地图片服务器》本文介绍了如何结合wxPython构建的图形用户界面GUI和Python内建的Web服务器功能,在本地网络中搭建一个私人的,即开即用的网页相册,文中的示... 目录项目目标核心技术栈代码深度解析完整代码工作流程主要功能与优势潜在改进与思考运行结果总结你是否曾经

Linux中的计划任务(crontab)使用方式

《Linux中的计划任务(crontab)使用方式》:本文主要介绍Linux中的计划任务(crontab)使用方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、前言1、linux的起源与发展2、什么是计划任务(crontab)二、crontab基础1、cro

kotlin中const 和val的区别及使用场景分析

《kotlin中const和val的区别及使用场景分析》在Kotlin中,const和val都是用来声明常量的,但它们的使用场景和功能有所不同,下面给大家介绍kotlin中const和val的区别,... 目录kotlin中const 和val的区别1. val:2. const:二 代码示例1 Java

C++变换迭代器使用方法小结

《C++变换迭代器使用方法小结》本文主要介绍了C++变换迭代器使用方法小结,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧... 目录1、源码2、代码解析代码解析:transform_iterator1. transform_iterat

C++中std::distance使用方法示例

《C++中std::distance使用方法示例》std::distance是C++标准库中的一个函数,用于计算两个迭代器之间的距离,本文主要介绍了C++中std::distance使用方法示例,具... 目录语法使用方式解释示例输出:其他说明:总结std::distance&n编程bsp;是 C++ 标准

vue使用docxtemplater导出word

《vue使用docxtemplater导出word》docxtemplater是一种邮件合并工具,以编程方式使用并处理条件、循环,并且可以扩展以插入任何内容,下面我们来看看如何使用docxtempl... 目录docxtemplatervue使用docxtemplater导出word安装常用语法 封装导出方

Linux换行符的使用方法详解

《Linux换行符的使用方法详解》本文介绍了Linux中常用的换行符LF及其在文件中的表示,展示了如何使用sed命令替换换行符,并列举了与换行符处理相关的Linux命令,通过代码讲解的非常详细,需要的... 目录简介检测文件中的换行符使用 cat -A 查看换行符使用 od -c 检查字符换行符格式转换将

使用Jackson进行JSON生成与解析的新手指南

《使用Jackson进行JSON生成与解析的新手指南》这篇文章主要为大家详细介绍了如何使用Jackson进行JSON生成与解析处理,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录1. 核心依赖2. 基础用法2.1 对象转 jsON(序列化)2.2 JSON 转对象(反序列化)3.