使用letsencrypt-certbot生成免费证书

背景

证书可用在https,wss等需要tls加密认证的场景;
正式使用的环境一般都会使用收费的证书，但测试服或自己实验环境大部分都用自签名或免费的证书;
webrtc相关的模块标准要求必须加密且不能是自签名证书;

先决条件

从背景上来看我们得想想办法来薅一薅羊毛了，但为了安全性也还是有一些准入门槛的，如下：

得下载一份 certbot-auto 脚本;
得有服务器的登录ssh权限;
第一次安装时得有root权限可以将脚本加入sudo list；
服务器必须有可用的域名已经预先解析到了本机上且能ping通,地址为本服务器的公网地址;
服务器上的80或443端口是空闲的如果外围有防火墙需要在防火墙上开放了公网的相应端口;
脚本在执行时为了校验域名被解析的主机就是你所操作的主机所以会自动开启443端口进行现场认证, 防止绑定了非法域名,还有一个注意的点就是它只能提供具体域名无法对范域名进行绑定证书;

获取证书

先下载可执行脚本: 详见: <wget https://dl.eff.org/certbot-auto> ;
放到自己的一个固定的目录如：/home/yine/scripts, 然后添加可执行权限: chmod a+x /home/yine/scripts/certbot-auto;
sudo -iu root 切换到root权限添加脚本到sudo列表中去,以方便后续普通用户的证书自动更新操作；
添加sudo列表: echo 'popo ALL = NOPASSWD: ...(其它已有指令), /home/yine/scripts/certbot-auto' > /etc/sudoers.d/yine;
sudo -iu yine 切换到普通用户;
sudo /home/yine/scripts/certbot-auto certonly --standalone -d yourdomain.com --agree-tos --email youremail@gmail.com;
当执行成功后会在/etc/letsencrypt下生成相关临时文件和证书文件;
/etc/letsencrypt/live/yourdomain.com/fullchain.pem 为证书文件;
/etc/letsencrypt/live/yourdomain.com/privkey.pem 为证书的私钥;
为了应用能直接访问可以修改/etc/letsencrypt目录归属和权限 chown -R yine:studio /etc/letsencrypt chmod -R 744 /etc/letsencrypt;

配置应用使用

nginx

  server {listen 80;server_name abc.com;rewrite ^(.*) https://abc.com permanent;
}
server{listen 443 ssl default_server;listen [::]:443 ssl default_server;ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;server_name www.yourdomain.com;root /web/yourdomain.com/;
}

kamailio 在 /etc/kamailio/tls.cfg

private_key = /etc/letsencrypt/live/yourdomain.com/privkey.pem
certificate = /etc/letsencrypt/live/yourdomain.com/fullchain.pem

配置自动更新

在 /home/yine/scripts 下新建脚本 corn-cerbot-auto.sh
添加:

#!/bin/bash
sudo /home/popo/scripts/certbot-auto renew --quiet
sudo /etc/init.d/kamailio force-reload

在计划任务中添加(crontab -e): 0 4 1 */2 * /home/yine/scripts/corn-cerbot-auto.sh #每两个月的一号凌晨4点更新一次

新建复制脚本

vim corn-cerbot-auto.sh
脚本如下：

#!/bin/bashsudo /home/popo/scripts/certbot-auto renewHOME_DIR=/etc/letsencrypt/live
DOMAIN_DIR=xxx.comDEST_DIR=/home/popo/DATA/etc/kamailio/certs/xxx.comcd $HOME_DIR/$DOMAIN_DIRREAL_PRIVKEY=`readlink $HOME_DIR/$DOMAIN_DIR/privkey.pem`
rm -rf $DEST_DIR/privkey.pem
cp -r $REAL_PRIVKEY $DEST_DIR/privkey.pem
chmod 777 $DEST_DIR/privkey.pemREAL_FULLCHAIN=`readlink $HOME_DIR/$DOMAIN_DIR/fullchain.pem`
rm -rf $DEST_DIR/fullchain.pem
cp -r $REAL_FULLCHAIN $DEST_DIR/fullchain.pem
chmod 777 $DEST_DIR/fullchain.pemsudo docker stop kamailio
sleep 3s
sudo docker start kamailio

其它生成方式

还有其它的依赖web的生成方式,比如nginx或apache等,需要有这样的web应用在,直接使用认证文件的方式进行;
详见: https://letsencrypt.org/zh-cn/getting-started/#

使用letsencrypt-certbot生成免费证书相关推荐

阿里云服务器 Certbot 申请 LetsEncrypt 泛域名免费证书,并实现自动续订
阿里云服务器 Certbot 申请 LetsEncrypt 泛域名免费证书准备工作首先,要有一个域名,且使用阿里云DNS 提供解析服务.系统Centos 7.6以上查看系统版本命令:lsb_r ...
openssl 生成免费证书
1.什么是openssl? 它的作用是?应用场景是什么?什么是openssl? 它的作用是?应用场景是什么? openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免 ...
使用certbot生成https证书
目录背景全部操作步骤概览 1.打开https://certbot.eff.org 2.选择自己用的什么软件并且是什么操作系统 3.查看操作步骤实战细节安装snap 安装Certbot 生成证书 ...
Certbot 生成 ssl 证书
certbot 是用来申请 Let's Encrypt 免费 SSL 证书一般的免费 SSL 证书,好像都是使用 Let's Encrypt 颁发的证书.官网地址:https://letsencryp ...
acme.sh 生成免费证书，维护证书
什么是acme.sh 用shell脚本从Let's Encrypt 或 zerossl 两个颁发证书的源站,获取ssl证书, 并定期维护的一个开源产品.在证书过期前,自动更新.为我们带来了开源的便利, ...
《Linux运维实战：使用openssl生成免费证书》
文章目录一.背景二.生成证书 2.1.证书格式为cer 2.2.证书格式为pem 三.Nginx配置四.安装客户端证书总结:整理不易,如果对你有帮助,可否点赞关注一下? 一.背景由于第三方外 ...
Windows使用Openssl生成免费证书
一.安装下载 Win32/Win64 OpenSSL Installer for Windows - Shining Light Productionshttp://slproweb.com/pro ...
使用Certbot 生成 https 证书
1.下载certbot项目 # git clone https://github.com/certbot/certbot.git # cd certbot/ # chmod a+x ./certbot ...
使用certbot-auto脚本安装Certbot 生成https证书
在CentOS7上安装Certbot有三种方式: 使用Certbot官方提供的对应平台的RPM包安装使用Certbot官方的提供的certbot-auto安装使用pip安装Certbot,因为Ce ...

使用letsencrypt-certbot生成免费证书

背景

先决条件

获取证书

配置应用使用

配置自动更新

新建复制脚本

其它生成方式

使用letsencrypt-certbot生成免费证书相关推荐

最新文章

热门文章