使用Let‘s Encrypt 申请通配符证书

2024-06-24 02:04

本文主要是介绍使用Let‘s Encrypt 申请通配符证书,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

为什么不使用阿里云/腾讯云等公有云厂商提供的免费证书?


上篇介绍了从阿里云上面申请免费证书,有效期一年 为网站配置https证书

公有云提供的证书不支持通配符,只支持某个确定的解析。 不管是二级域名还是三级域名,只要是具体的确定的地址,都可以使用。

对于某个域名,如果DNS解析很少,如只有mail.abc.com,www.abc.com,blog.abc.com, 用公有云需要分别为其申请3个证书。

所以如果目前的域名解析不是太多,每年操作一次,也还可以。(注:据说现在有效期降为了三个月)

但很多场景下,公司业务很多,某个域名的A记录不可能只有这三两个,如qq.com, 可能下面有www.qq.com,qzone.qq.com, mail.qq.com,weixin.qq.com…等成百上千个

这时候就需要用到通配符证书,而公有云厂商大多并不支持申请免费的通配符证书,往往需要氪金


关于 通配符域名证书


通配符域名证书是什么? 和普通的证书比有什么区别?

通配符域名证书是一种用于保护多个子域名的 SSL/TLS 证书。它使用通配符字符(通常是星号 *)来表示一个或多个子域名的部分或全部。例如,一个通配符域名证书可以覆盖 *.example.com,这意味着它可以保护诸如mail.example.com、blog.example.com和www.example.com等子域名。

与普通的证书相比,通配符域名证书具有以下区别:

  1. 覆盖多个子域名:通配符域名证书可以覆盖一个顶级域名下的多个子域名,而普通证书只能保护一个具体的域名。

  2. 灵活性和便利性:使用通配符域名证书可以简化证书管理过程。相比为每个子域名单独购买和配置证书,只需使用一个通配符证书即可涵盖所有需要保护的子域名。

需要注意的是,通配符域名证书只能覆盖一个级别的子域名。例如,*.example.com 可以保护 mail.example.com、blog.example.com,但无法保护 mail.server.example.com。如果需要保护多级子域名,可能需要考虑使用泛域名证书(Wildcard Certificate)。

【技术种草】如何免费申请通配SSL证书

通配符域名证书都支持哪些域名?

再次确认,阿里云的通配符域名需要收费!

即 **多次申请过免费SSL证书,(当时)有效期一年,看起来只能针对单个具体地址。

没觉得这玩意多复杂,有收费的通配符域名,只要氪金,以为整个域名,不管三级四级五级,申请一个证书就可以。

即便使用通配符证书,也只能作用于某一级的,比如想要 *.qq.com一个证书涵盖这个域名下所有二级,三级,四级域名,是做不到的(可能是出于安全目的故意这样规定?),只能覆盖全部xxx.qq.com,而对yyy.xxx.qq.com起不到作用


Let’s Encrypt


前面说到公有云一般不提供免费的通配符证书,但还是有一些赛博菩萨,提供这样的免费服务。其中Let’s Encrypt是最知名的之一,甚至有人认为,https的推广普及,其功不可没。

Let’s Encrypt 通过免费、自动化的方式推动了网站的加密普及,提供了简单、安全和可靠的 SSL/TLS 证书解决方案,为用户提供更安全的网络体验。


Let’s Encrypt 是什么?有何作用?

Let’s Encrypt 是一个免费、自动化的证书颁发机构(Certificate Authority,简称 CA),旨在为网站提供免费的 SSL/TLS 证书。它于2015年成立,由 Electronic Frontier Foundation(EFF)、Mozilla Foundation、University of Michigan 等组织共同支持。

Let’s Encrypt 的目标是通过简化证书颁发流程,推动整个互联网的加密普及。传统的 SSL/TLS 证书需要手动申请、验证身份、付费并进行周期性续签,这给网站管理员带来了一定的复杂性和成本。而 Let’s Encrypt 采用了自动化的证书颁发流程,可以方便快速地获取和更新证书。


Let’s Encrypt 的作用包括:

  1. 提供免费的 SSL/TLS 证书:Let’s Encrypt 提供了免费的数字证书,使得网站管理员可以轻松地为其网站启用加密连接,实现安全传输和数据保护。

  2. 促进网站加密普及:由于免费且易于使用,Let’s Encrypt 在推动整个互联网的加密普及方面发挥了重要作用。更多的网站采用 SSL/TLS 加密可以提升用户隐私和数据安全,减少网络攻击和信息泄漏的风险。

  3. 自动化证书管理:Let’s Encrypt 提供了一套自动化的证书颁发流程和工具,使得证书的申请、验证和更新变得简单和便捷。通过使用 Let’s Encrypt 提供的 ACME 协议,可以实现证书的自动续签,减少了证书管理的负担。

申请及使用


参考 申请 Let’s Encrypt 通配符 HTTPS 证书

根据不同系统,安装certbot

brew install certbot

或者

sudo apt-get install certbot

Certbot是一个由Let’s Encrypt官方提供的免费开源的工具,它可以帮助用户自动化地获得、续期和部署SSL/TLS证书。 Certbot支持多种Web服务器,包括Apache、Nginx、Caddy等,用户可以使用Certbot来自动化地安装和配置SSL/TLS证书,以提高网站的安全性。


certbot -d n.dashen.tech(你要申请的证书,其实这里完全可以写*.dashen.tech) --manual --config-dir config --work-dir work --logs-dir logs --preferred-challenges dns certonly

其中,

  • --manual:指定使用手动方式进行域名验证。这意味着 certbot 将会提示用户手动添加 DNS TXT 记录或 HTTP 文件来验证域名所有权。这通常需要一定的技术知识和操作技巧。

  • --config-dir config:指定 certbot 的配置文件目录为 config。在该目录下,certbot 将会保存证书和其他配置信息。

  • --work-dir work:指定 certbot 的工作目录为 work。在该目录下,certbot 将会生成临时文件和其他工作文件。

  • --logs-dir logs:指定 certbot 的日志文件目录为 logs。在该目录下,certbot 将会保存运行日志和其他信息。

  • --preferred-challenges dns:指定首选的验证方式为 DNS 验证。这意味着 certbot 将会使用 DNS TXT 记录来验证域名所有权。

  • certonly 参数表示只获取证书,而不进行证书安装。如果要同时获取证书和安装证书,可以使用 run 命令代替 certonly 命令。


按提示来即可~

中间需要去域名注册商管理后台,在你的域名下增加一条TXT解析,做验证用,证明这域名属于你---一般有两种验证方式(称为Challenge),HTTP方式和DNS方式,增加TXT属于DNS方式。

(其实还有一种TLS-SNI-01的验证方式,目前用的不多,更多可参考 验证方式
)


再修改一下nginx配置,之后 ./nginx -s reload

(如果使用K8s,则创建新的secret,并编辑相应的ingress)


其实还有一个和Let’s Encrypt 差不多的,叫TrustAsia,也有些知名度

6家免费的SSL证书服务商

SSL证书系列–Let’s Encrypt和TrustAsia哪个好?

从 Let’s Encrypt 证书换成TrustAsia 证书的操作过程及注意事项


续期


Let’s Encrypt证书有效期只有90天,需要注意续约。 在离到期时间还有不到30天时,就可以进行此操作。

一般可以使用certbot,并借助crontab自动续期…详情可参考下面两篇文章

(一般certbot最好就安装在这个网站的机器上,而不是在另外一台机器上申请到证书,再传上去,进行配置,这样不好自动化)

Let’s Encrypt请求证书、续订与定时续订

Certbot对免费Let’s Encrypt证书的续期

但为了稳妥起见,最好还是通过监控的方式,当证书有效期低于某个时间时,告警出来,再去手动或自动更新证书。


这篇关于使用Let‘s Encrypt 申请通配符证书的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1088877

相关文章

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

Makefile简明使用教程

文章目录 规则makefile文件的基本语法:加在命令前的特殊符号:.PHONY伪目标: Makefilev1 直观写法v2 加上中间过程v3 伪目标v4 变量 make 选项-f-n-C Make 是一种流行的构建工具,常用于将源代码转换成可执行文件或者其他形式的输出文件(如库文件、文档等)。Make 可以自动化地执行编译、链接等一系列操作。 规则 makefile文件

使用opencv优化图片(画面变清晰)

文章目录 需求影响照片清晰度的因素 实现降噪测试代码 锐化空间锐化Unsharp Masking频率域锐化对比测试 对比度增强常用算法对比测试 需求 对图像进行优化,使其看起来更清晰,同时保持尺寸不变,通常涉及到图像处理技术如锐化、降噪、对比度增强等 影响照片清晰度的因素 影响照片清晰度的因素有很多,主要可以从以下几个方面来分析 1. 拍摄设备 相机传感器:相机传

pdfmake生成pdf的使用

实际项目中有时会有根据填写的表单数据或者其他格式的数据,将数据自动填充到pdf文件中根据固定模板生成pdf文件的需求 文章目录 利用pdfmake生成pdf文件1.下载安装pdfmake第三方包2.封装生成pdf文件的共用配置3.生成pdf文件的文件模板内容4.调用方法生成pdf 利用pdfmake生成pdf文件 1.下载安装pdfmake第三方包 npm i pdfma

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

软考系统规划与管理师考试证书含金量高吗?

2024年软考系统规划与管理师考试报名时间节点: 报名时间:2024年上半年软考将于3月中旬陆续开始报名 考试时间:上半年5月25日到28日,下半年11月9日到12日 分数线:所有科目成绩均须达到45分以上(包括45分)方可通过考试 成绩查询:可在“中国计算机技术职业资格网”上查询软考成绩 出成绩时间:预计在11月左右 证书领取时间:一般在考试成绩公布后3~4个月,各地领取时间有所不同

git使用的说明总结

Git使用说明 下载安装(下载地址) macOS: Git - Downloading macOS Windows: Git - Downloading Windows Linux/Unix: Git (git-scm.com) 创建新仓库 本地创建新仓库:创建新文件夹,进入文件夹目录,执行指令 git init ,用以创建新的git 克隆仓库 执行指令用以创建一个本地仓库的

【北交大信息所AI-Max2】使用方法

BJTU信息所集群AI_MAX2使用方法 使用的前提是预约到相应的算力卡,拥有登录权限的账号密码,一般为导师组共用一个。 有浏览器、ssh工具就可以。 1.新建集群Terminal 浏览器登陆10.126.62.75 (如果是1集群把75改成66) 交互式开发 执行器选Terminal 密码随便设一个(需记住) 工作空间:私有数据、全部文件 加速器选GeForce_RTX_2080_Ti