場(chǎng)景設(shè)定:
一���、選擇證書類型
上面是常見(jiàn)的證書類型���,對(duì)于我們的場(chǎng)景,應(yīng)該選擇DV證書�����,用來(lái)給我們自己的域名做認(rèn)證。
Let's Encrypt是目前(2024年)市場(chǎng)份額第一的,甚至美國(guó)政府網(wǎng)站在也使用它�,免費(fèi)方便,支持自助申請(qǐng)�����。只是免費(fèi)的證書有效期最多3個(gè)月�,到期需要更新。它也提供了自動(dòng)化的命令行工具來(lái)更新證書�。
申請(qǐng)證書之前,需要先有一個(gè)域名��。一般的云廠商都可以代理申請(qǐng)���,小編的域名就是在阿里云上申請(qǐng)的���。下面我們以小編自己的域名:ticktechman.tech為例����,介紹如何申請(qǐng)對(duì)應(yīng)的證書��。certbot是Let's Encrypt提供的一個(gè)開(kāi)源免費(fèi)工具����,基于命令行,在繼續(xù)下面的步驟之前��,需要先安裝:#brew install certbot
#sudo apt install -y certbot
在申請(qǐng)證書的過(guò)程中�����,cbot需要驗(yàn)證域名的所有權(quán)是否屬于你�����,提供了三種方式:在我們的場(chǎng)景中��,網(wǎng)站還不存在�����,因此選擇通過(guò)DNS-01的方式來(lái)驗(yàn)證域名歸屬權(quán)�。執(zhí)行下面的命令:mkdir certbot && cd certbotmkdir config logs workcertbot certonly --manual --preferred-challenges dns -d ticktechman.tech --config-dir=${PWD}/config --work-dir=${PWD}/work --logs-dir=${PWD}/logs
執(zhí)行到這里的時(shí)候,需要在DNS中增加TXT字段�����,字段名是固定的����,字段值是臨時(shí)生成的,需要手動(dòng)添加�。這里以阿里云平臺(tái)上添加DNS TXT字段為例介紹:紅框中前兩項(xiàng)按照上圖中填寫,第三項(xiàng)【記錄值】要輸入上步中命令行輸出的字段值�����。添加成功后�����,需要等待一段時(shí)間才能生效(建議等待2~3分鐘)添加完DNS信息后��,按【回車】鍵繼續(xù)后面的申請(qǐng)操作
申請(qǐng)成功后���,在當(dāng)前目錄下會(huì)生成如下的目錄和文件:
上面紅框中的文件:
privkey.pem:pem格式的私鑰文件���;
fullchain.pem:pem格式的包含中間CA的證書鏈�����,用作公鑰證書�����;
cert.pem:僅包含服務(wù)器證書�����,不含中間CA的證書�����;
chain.pem:僅包含中間CA的證書���;
我們使用nginx來(lái)驗(yàn)證上面證書的合法性��,可以參考【你的第一個(gè)HTTPS網(wǎng)站(nginx版)】這篇文章先搭建一個(gè)nginx服務(wù)����。將申請(qǐng)好的兩個(gè)文件:fullchain.pem和privkey.pem文件拷貝到nginx配置的目錄,然后修改配置文件https.conf:http { server { listen 443 ssl; server_name localhost;
ssl_certificate /path/to/fullchain.pem; ssl_certificate_key /path/to/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5;
root /Users/ticktech/usr/playground/nginx/www; index index.html;
location / { try_files $uri $uri/ =404; } }
server { listen 80; server_name localhost;
return 301 https://$host$request_uri; }}
然后重啟或者重新加載nginx配置�,可以使用下面的命令來(lái)驗(yàn)證證書合法性:nginx -s reloadopenssl s_client -connect localhost:443 -servername localhost|grep 'Verify return code'
如果輸出中包含"Verify return code: 0 (ok)",則表示證書合法����。
這種方法適合本地驗(yàn)證,不需要部署公網(wǎng)IP和服務(wù)器����。
閱讀原文:原文鏈接
該文章在 2025/8/15 11:39:05 編輯過(guò)
400 186 1886
