使用Let‘s Encrypt 申请通配符证书

2024-06-24 02:04

本文主要是介绍使用Let‘s Encrypt 申请通配符证书,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

为什么不使用阿里云/腾讯云等公有云厂商提供的免费证书?


上篇介绍了从阿里云上面申请免费证书,有效期一年 为网站配置https证书

公有云提供的证书不支持通配符,只支持某个确定的解析。 不管是二级域名还是三级域名,只要是具体的确定的地址,都可以使用。

对于某个域名,如果DNS解析很少,如只有mail.abc.com,www.abc.com,blog.abc.com, 用公有云需要分别为其申请3个证书。

所以如果目前的域名解析不是太多,每年操作一次,也还可以。(注:据说现在有效期降为了三个月)

但很多场景下,公司业务很多,某个域名的A记录不可能只有这三两个,如qq.com, 可能下面有www.qq.com,qzone.qq.com, mail.qq.com,weixin.qq.com…等成百上千个

这时候就需要用到通配符证书,而公有云厂商大多并不支持申请免费的通配符证书,往往需要氪金


关于 通配符域名证书


通配符域名证书是什么? 和普通的证书比有什么区别?

通配符域名证书是一种用于保护多个子域名的 SSL/TLS 证书。它使用通配符字符(通常是星号 *)来表示一个或多个子域名的部分或全部。例如,一个通配符域名证书可以覆盖 *.example.com,这意味着它可以保护诸如mail.example.com、blog.example.com和www.example.com等子域名。

与普通的证书相比,通配符域名证书具有以下区别:

  1. 覆盖多个子域名:通配符域名证书可以覆盖一个顶级域名下的多个子域名,而普通证书只能保护一个具体的域名。

  2. 灵活性和便利性:使用通配符域名证书可以简化证书管理过程。相比为每个子域名单独购买和配置证书,只需使用一个通配符证书即可涵盖所有需要保护的子域名。

需要注意的是,通配符域名证书只能覆盖一个级别的子域名。例如,*.example.com 可以保护 mail.example.com、blog.example.com,但无法保护 mail.server.example.com。如果需要保护多级子域名,可能需要考虑使用泛域名证书(Wildcard Certificate)。

【技术种草】如何免费申请通配SSL证书

通配符域名证书都支持哪些域名?

再次确认,阿里云的通配符域名需要收费!

即 **多次申请过免费SSL证书,(当时)有效期一年,看起来只能针对单个具体地址。

没觉得这玩意多复杂,有收费的通配符域名,只要氪金,以为整个域名,不管三级四级五级,申请一个证书就可以。

即便使用通配符证书,也只能作用于某一级的,比如想要 *.qq.com一个证书涵盖这个域名下所有二级,三级,四级域名,是做不到的(可能是出于安全目的故意这样规定?),只能覆盖全部xxx.qq.com,而对yyy.xxx.qq.com起不到作用


Let’s Encrypt


前面说到公有云一般不提供免费的通配符证书,但还是有一些赛博菩萨,提供这样的免费服务。其中Let’s Encrypt是最知名的之一,甚至有人认为,https的推广普及,其功不可没。

Let’s Encrypt 通过免费、自动化的方式推动了网站的加密普及,提供了简单、安全和可靠的 SSL/TLS 证书解决方案,为用户提供更安全的网络体验。


Let’s Encrypt 是什么?有何作用?

Let’s Encrypt 是一个免费、自动化的证书颁发机构(Certificate Authority,简称 CA),旨在为网站提供免费的 SSL/TLS 证书。它于2015年成立,由 Electronic Frontier Foundation(EFF)、Mozilla Foundation、University of Michigan 等组织共同支持。

Let’s Encrypt 的目标是通过简化证书颁发流程,推动整个互联网的加密普及。传统的 SSL/TLS 证书需要手动申请、验证身份、付费并进行周期性续签,这给网站管理员带来了一定的复杂性和成本。而 Let’s Encrypt 采用了自动化的证书颁发流程,可以方便快速地获取和更新证书。


Let’s Encrypt 的作用包括:

  1. 提供免费的 SSL/TLS 证书:Let’s Encrypt 提供了免费的数字证书,使得网站管理员可以轻松地为其网站启用加密连接,实现安全传输和数据保护。

  2. 促进网站加密普及:由于免费且易于使用,Let’s Encrypt 在推动整个互联网的加密普及方面发挥了重要作用。更多的网站采用 SSL/TLS 加密可以提升用户隐私和数据安全,减少网络攻击和信息泄漏的风险。

  3. 自动化证书管理:Let’s Encrypt 提供了一套自动化的证书颁发流程和工具,使得证书的申请、验证和更新变得简单和便捷。通过使用 Let’s Encrypt 提供的 ACME 协议,可以实现证书的自动续签,减少了证书管理的负担。

申请及使用


参考 申请 Let’s Encrypt 通配符 HTTPS 证书

根据不同系统,安装certbot

brew install certbot

或者

sudo apt-get install certbot

Certbot是一个由Let’s Encrypt官方提供的免费开源的工具,它可以帮助用户自动化地获得、续期和部署SSL/TLS证书。 Certbot支持多种Web服务器,包括Apache、Nginx、Caddy等,用户可以使用Certbot来自动化地安装和配置SSL/TLS证书,以提高网站的安全性。


certbot -d n.dashen.tech(你要申请的证书,其实这里完全可以写*.dashen.tech) --manual --config-dir config --work-dir work --logs-dir logs --preferred-challenges dns certonly

其中,

  • --manual:指定使用手动方式进行域名验证。这意味着 certbot 将会提示用户手动添加 DNS TXT 记录或 HTTP 文件来验证域名所有权。这通常需要一定的技术知识和操作技巧。

  • --config-dir config:指定 certbot 的配置文件目录为 config。在该目录下,certbot 将会保存证书和其他配置信息。

  • --work-dir work:指定 certbot 的工作目录为 work。在该目录下,certbot 将会生成临时文件和其他工作文件。

  • --logs-dir logs:指定 certbot 的日志文件目录为 logs。在该目录下,certbot 将会保存运行日志和其他信息。

  • --preferred-challenges dns:指定首选的验证方式为 DNS 验证。这意味着 certbot 将会使用 DNS TXT 记录来验证域名所有权。

  • certonly 参数表示只获取证书,而不进行证书安装。如果要同时获取证书和安装证书,可以使用 run 命令代替 certonly 命令。


按提示来即可~

中间需要去域名注册商管理后台,在你的域名下增加一条TXT解析,做验证用,证明这域名属于你---一般有两种验证方式(称为Challenge),HTTP方式和DNS方式,增加TXT属于DNS方式。

(其实还有一种TLS-SNI-01的验证方式,目前用的不多,更多可参考 验证方式
)


再修改一下nginx配置,之后 ./nginx -s reload

(如果使用K8s,则创建新的secret,并编辑相应的ingress)


其实还有一个和Let’s Encrypt 差不多的,叫TrustAsia,也有些知名度

6家免费的SSL证书服务商

SSL证书系列–Let’s Encrypt和TrustAsia哪个好?

从 Let’s Encrypt 证书换成TrustAsia 证书的操作过程及注意事项


续期


Let’s Encrypt证书有效期只有90天,需要注意续约。 在离到期时间还有不到30天时,就可以进行此操作。

一般可以使用certbot,并借助crontab自动续期…详情可参考下面两篇文章

(一般certbot最好就安装在这个网站的机器上,而不是在另外一台机器上申请到证书,再传上去,进行配置,这样不好自动化)

Let’s Encrypt请求证书、续订与定时续订

Certbot对免费Let’s Encrypt证书的续期

但为了稳妥起见,最好还是通过监控的方式,当证书有效期低于某个时间时,告警出来,再去手动或自动更新证书。


这篇关于使用Let‘s Encrypt 申请通配符证书的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1088877

相关文章

使用Python和Pyecharts创建交互式地图

《使用Python和Pyecharts创建交互式地图》在数据可视化领域,创建交互式地图是一种强大的方式,可以使受众能够以引人入胜且信息丰富的方式探索地理数据,下面我们看看如何使用Python和Pyec... 目录简介Pyecharts 简介创建上海地图代码说明运行结果总结简介在数据可视化领域,创建交互式地

Java Stream流使用案例深入详解

《JavaStream流使用案例深入详解》:本文主要介绍JavaStream流使用案例详解,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录前言1. Lambda1.1 语法1.2 没参数只有一条语句或者多条语句1.3 一个参数只有一条语句或者多

Java Spring 中 @PostConstruct 注解使用原理及常见场景

《JavaSpring中@PostConstruct注解使用原理及常见场景》在JavaSpring中,@PostConstruct注解是一个非常实用的功能,它允许开发者在Spring容器完全初... 目录一、@PostConstruct 注解概述二、@PostConstruct 注解的基本使用2.1 基本代

C#使用StackExchange.Redis实现分布式锁的两种方式介绍

《C#使用StackExchange.Redis实现分布式锁的两种方式介绍》分布式锁在集群的架构中发挥着重要的作用,:本文主要介绍C#使用StackExchange.Redis实现分布式锁的... 目录自定义分布式锁获取锁释放锁自动续期StackExchange.Redis分布式锁获取锁释放锁自动续期分布式

springboot使用Scheduling实现动态增删启停定时任务教程

《springboot使用Scheduling实现动态增删启停定时任务教程》:本文主要介绍springboot使用Scheduling实现动态增删启停定时任务教程,具有很好的参考价值,希望对大家有... 目录1、配置定时任务需要的线程池2、创建ScheduledFuture的包装类3、注册定时任务,增加、删

使用Python实现矢量路径的压缩、解压与可视化

《使用Python实现矢量路径的压缩、解压与可视化》在图形设计和Web开发中,矢量路径数据的高效存储与传输至关重要,本文将通过一个Python示例,展示如何将复杂的矢量路径命令序列压缩为JSON格式,... 目录引言核心功能概述1. 路径命令解析2. 路径数据压缩3. 路径数据解压4. 可视化代码实现详解1

Pandas透视表(Pivot Table)的具体使用

《Pandas透视表(PivotTable)的具体使用》透视表用于在数据分析和处理过程中进行数据重塑和汇总,本文就来介绍一下Pandas透视表(PivotTable)的具体使用,感兴趣的可以了解一下... 目录前言什么是透视表?使用步骤1. 引入必要的库2. 读取数据3. 创建透视表4. 查看透视表总结前言

Python 交互式可视化的利器Bokeh的使用

《Python交互式可视化的利器Bokeh的使用》Bokeh是一个专注于Web端交互式数据可视化的Python库,本文主要介绍了Python交互式可视化的利器Bokeh的使用,具有一定的参考价值,感... 目录1. Bokeh 简介1.1 为什么选择 Bokeh1.2 安装与环境配置2. Bokeh 基础2

Android使用ImageView.ScaleType实现图片的缩放与裁剪功能

《Android使用ImageView.ScaleType实现图片的缩放与裁剪功能》ImageView是最常用的控件之一,它用于展示各种类型的图片,为了能够根据需求调整图片的显示效果,Android提... 目录什么是 ImageView.ScaleType?FIT_XYFIT_STARTFIT_CENTE

Java学习手册之Filter和Listener使用方法

《Java学习手册之Filter和Listener使用方法》:本文主要介绍Java学习手册之Filter和Listener使用方法的相关资料,Filter是一种拦截器,可以在请求到达Servl... 目录一、Filter(过滤器)1. Filter 的工作原理2. Filter 的配置与使用二、Listen