教程相关

【教程】Let’s Encrypt免费HTTPS SSL证书获取教程

微信扫一扫,分享到朋友圈

【教程】Let’s Encrypt免费HTTPS SSL证书获取教程
收藏 0 0

Let’s Encrypt是EFF、Mozilla、Cisco、Akamai、IdenTrust与密西根大学研究人员共同创立的组织,这是一个免费的凭证中心(Certification Authority,CA),目的在于推动全球所有的网站都使用HTTPS加密传输,并由非营利的网际网路安全研究组织Internet Security Research Group(ISRG)负责营运。

对于开发者来说,部署HTTPS是一个双赢的选择,用户可以借此获得更加安全的使用体验,而站点也能够抵御恶意软件的注入或广告追踪。Let’s Encrypt已于2015年12月3日进入公测(Public Beta),所有网站都可以免费获取Let’s Encrypt的证书。

据说Google优先收录带HTTPS加密的网站。

获取Let’s Encrypt证书

项目GitHub地址:https://github.com/letsencrypt/letsencrypt – > https://github.com/certbot/certbot

官方教程:https://certbot.eff.org/docs/using.html

2016年5月更新:

最近官方做了调整,简化了获取证书的难度,并将项目名改为了certbot,以下为全新安装方法:

4.运行客户端获取证书

获取证书有几种方案,官方已经开发了用于Apache服务器的插件,而Nginx的插件还是实验性功能。本文不探讨使用插件的方式,读者可以自行阅读官方的User Guide。

下面是两种通用获取方法,推荐使用 方案二。

方案一)获取证书时会使用80端口,如果你的服务器可以关闭,可以使用如下方式:

关闭占用80端口的服务器,比如Apache或者Nginx

输入以下命令来获取证书:

如果申请成功,会显示以下信息,可惜的是获取一次有效期只有90天,到期后需要续签:

方案二)如果你不想关闭服务器,也可以指定webroot来获取证书:

–server: 指定 letsencrypt 服务器,-w: 指定网站根目录,-d: 指定网站域名。用 , 分开同一个网站绑定的所有域名

错误提示类似于:

你可以先尝试是否能正常获取,如果不能的话,可以选择切换域名的NS服务器。我在操作的时候将域名的NS换到了 https://www.cloudflare.com,但是换了NS需要等几个小时才能生效。

配置Nginx添加Https

更新证书的时候,letsencrypt 会通过 http 协议访问你网站目录下的一个文件,请求类似于:

打开网站看看,已经加上绿色锁头了,可是如果网页上存在有没走Https的链接,就不能全绿。

Let’s Encrypt续签

新版续签只需要一条命令:

优化Https安全性

各服务器推荐配置可以参考:https://cipherli.st/

1.首先生成dhparam.pem:

2.生成HTTP Public Key Pinning 参考:Public Key Pinning

HTTP Security Report:https://httpsecurityreport.com/

配置参考地址:

1.Configuring Let’s Encrypt for nginx with Automatic Renewal

2.Strong SSL Security on nginx

3.使用 Nginx 构建优化的 https 服务

将网站加入HSTS preload list

HSTS preload list是什么?

HSTS preload list是Chrome浏览器中的HSTS预载入列表,在该列表中的网站,使用Chrome浏览器访问时,会自动转换成HTTPS。Firefox、Safari、Edge浏览器也会采用这个列表。

加入地址:https://hstspreload.appspot.com

加入条件:

  1. 有效的证书;
  2. 将所有HTTP流量重定向到HTTPS;
  3. 确保所有子域名启用HTTPS,特别是www子域名;

同时,HSTS响应头需要满足以下条件。

  1. max-age至少需要18周,10886400秒;
  2. 必须指定includeSubdomains参数;
  3. 必须支持preload参数。

例如:

从审核通过到正式加入到 Chrome 的 stable release 版本中还需要一段时间,因为要经过 canary、dev、beta 以及 stable。

这个文件就是 Chrome 的预加载列表文件:transport_security_state_static.json

参考地址:解决缺陷,让HSTS变得完美

链接:

1.Let’s Encrypt User Guide

2.V2EX我的 Let’s Encrypt 证书也下来了

3.折腾Let‘s Encrypt免费SSL证书

4.One-line certificate generation/renews with Letsencrypt and nginx

 

本文转载自链接: https://blog.kuoruan.com/71.html

我还没有学会写个人说明!
上一篇

【分享】一键安装最新内核并开启 BBR 脚本

下一篇

【VPS评测】Linode日本Tokyo2评测,NTT线路,5刀月租,性价比首选,首月送20刀(注册需信用卡)

你也可能喜欢

发表评论

您的电子邮件地址不会被公开。 必填项已用 * 标注

提示:点击验证后方可评论!

插入图片

类别小工具