HTTPS 简介及使用官方工具 Certbot 配置 SSL 安全证书详细教程

Homepage » 教程 » HTTPS简介及使用官方工具 Certbot 配置 Let’s Encrypt SSL 安全证书详细教程

HTTPS 简介及使用官方工具 Certbot 配置 Let’s Encrypt SSL 安全证书详细教程

POST TAGS

CERTBOTDEBIANHTTPSISRGLET'SENCRYPTLINUXSTORYNGINXSSLSSL/TLSWEB

SHARE THIS

PRETTY POSTS

UBUNTU要抛弃.DEB包了吗？
看开源如何带你找到工作！
LINUX STORY 资讯速递 20151102 UBUNTU 16.04 排定产期
苹果联合创始人沃兹尼亚克获澳洲身份
不留不去—神奇的虚拟机发行版VIRTUALBSD

BY 聞其詳 - 十一月,13TH 2016

FacebookTwitterGoogle+SinaWeiboWeChatBaiduPinterestEvernoteBloggerPostQzoneTumblrEmailLine分享

本文内容较长，因为涵盖背景知识、基本概念和完整的实操过程，如果一步步照着做的话，应该就可以一次配置成功。不想要了解背景知识的同学可以直接跳到实操过程，六步即可使用 Let’s Encrypt 官方工具 Certbot 配置 SSL 安全证书。

♦背景知识

已经了解过的同学或计算机相关专业的同学直接略过，跳到第三节。

1、http 和 https 是什么？

简单来说，http 是一个传输网页内容的协议，比如你看到的 http 开头的网站 http://www.163.com，其网页上的文字、图片、 CSS 、 JS 等文件都是通过 http 协议传输到我们的浏览器，然后被我们看到。

而 https 可以理解为“ HTTP over SSL/TLS ”，好端端的http 为什么需要“ over SSL/TLS ”呢，因为 http是明文传输的，通过 http 协议传输的内容很容易被偷看和篡改，为了安全（你肯定不想被人偷看或者篡改网页内容吧，比如网站银行密码什么的。）就为 http 协议再加上了一层 SSL/TLS 安全协议，所以就有了https 。

2、SSL/TLS是什么？

“ HTTP over SSL/TLS”字面意思就是带“安全套接层”的 http 协议，内心纯洁的同学也可以理解为“带安全套的 http ”，因为带了安全套，所以当然会比较安全（/(ㄒoㄒ)/~~）。其中 SSL 是“ Secure Sockets Layer ” 的缩写，是“安全套接层”的意思。 TLS 是 “Transport Layer Security” 的缩写，是 ” 传输层安全协议 ” 的意思。 SSL 和 TLS 是同一个东西的不同阶段，理解为同一个东西也行，都是安全协议就对了。

3、为什么要部署 https？

说到底，就是 https 更安全。甚至为了安全，一个专业可靠的网站， https 是必须的。 Firefox 和 Chrome 都计划将没有配置 SSL 加密的 http 网站标记为不安全（貌似 Firefox 50 已经这么干了），目前它们也正在联合其他相关的基金会与公司推动整个互联网https 化，现在大家访问的一些主要的网站。如 Google 多年前就已经全部启用 https ，国内的淘宝、搜狗、知乎、百度等等也全面 https 了。甚至 Google 的搜索结果也正在给予 https 的网站更高的排名和优先收录权。

4、怎么部署 https 呢？

你只需要有一张被信任的 CA （ Certificate Authority ）也就是证书授权中心颁发的 SSL 安全证书，并且将它部署到你的网站服务器上。一旦部署成功后，当用户访问你的网站时，浏览器会在显示的网址前加一把小绿锁，表明这个网站是安全的，当然同时你也会看到网址前的前缀变成了https ，不再是 http 了。

5、怎么获得 SSL 安全证书呢？

理论上，我们自己也可以签发 SSL 安全证书，但是我们自己签发的安全证书不会被主流的浏览器信任，所以我们需要被信任的证书授权中心（ CA ）签发的安全证书。而一般的 SSL 安全证书签发服务都比较贵，比如 Godaddy 、 GlobalSign等机构签发的证书一般都需要20美金一年甚至更贵，不过为了加快推广 https 的普及， EEF 电子前哨基金会、 Mozilla 基金会和美国密歇根大学成立了一个公益组织叫 ISRG （Internet Security Research Group ），这个组织从 2015 年开始推出了 Let’s Encrypt 免费证书。这个免费证书不仅免费，而且还相当好用，所以我们就可以利用 Let’s Encrypt 提供的免费证书部署 https 了。那么怎么获得 Let’s Encrypt 安全证书，并且将它部署在自己的网站服务器上呢？这就是这篇文章要讲的内容了。

注：对 https 、数字证书及 CA 的工作原理感兴趣的同学可以阅读编程随想的系列文章。

♦ Let’s Encrypt 及 Certbot 简介

前面已经介绍过， Let’s Encrypt 是一个叫 ISRG （Internet Security Research Group ，互联网安全研究小组）的组织推出的免费安全证书计划。参与这个计划的组织和公司可以说是互联网顶顶重要的先驱，除了前文提到的三个牛气哄哄的发起单位外，后来又有思科（全球网络设备制造商执牛耳者）、 Akamai 加入，甚至连 Linux 基金会也加入了合作，这些大牌组织的加入保证了这个项目的可信度和可持续性。

尽管项目本身以及有该项目签发的证书很可信，但一开始 Let’s Encrypt 的安全证书配置起来比较麻烦，需要手动获取及部署。存在一定的门槛，没有一些技术底子可能比较难搞定。然后有一些网友就自己做了一些脚本来优化和简化部署过程。其中有一个网友xdtianyu 做了一个可以快速获取及更新证书的 letsencrypt.sh 脚本被广泛使用，地址如下：

1	https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.sh

首先要感谢 xdtianyu 同学的努力付出。我之前用的也是这个脚本，不知道是不是姿势不对，虽然顺利地按照流程装上了，但用 SSLlabs 检测我配的网站还是不太安全，在很多浏览器上都被标注为“不安全”。当时因为忙也没有太多时间折腾和细究，不过后来 ISRG 的发起者EFF （电子前哨基金会）为 Let’s Encrypt 项目发布了一个官方的客户端 Certbot ，利用它可以完全自动化的获取、部署和更新安全证书。这真是非常容易、方便呀，所以我们就可以直接使用官方客户端，不需要再使用第三方的工具了。虽然第三方工具也可以使用，但是官方工具更权威，风险也更小，而且遇到问题也更容易解决，毕竟有官方的支持。何况 Certbot 确实非常方便，也比所有的第三方工具都更方便，何乐而不用呢?

♦官方客户端 Certbot 使用方法

Certbot 的官方网站是 https://certbot.eff.org/ ，打开这个链接选择自己使用的 web server和操作系统，EFF 官方会给出详细的使用方法，如下图，不过我觉得这样还是太复杂，太麻烦，所以建议读者朋友可以不用看这个网站，按照我的方法走一遍即可。我自己的个人网站（ https://wenqixiang.com ）和本站（ https://linuxstory.org ）都是按此方法配置，以下以本网站域名（linuxstory.org ）举例。

假定运行环境：Debian 8.064 位（本教程同样适用于 Debian 、 Ubuntu 、 CentOS、 Arch Linux 、）， Web 服务器是 Nginx 1.10，当前工作目录为 /home/linuxstory 家目录。如果是从零开始配置服务器，推荐使用 Debian 8 + lnmp 作为网站环境。

1、获取 Certbot 客户端

wget https://dl.eff.org/certbot-auto

chmod a+x ./certbot-auto

./certbot-auto --help

2、配置 nginx 、验证域名所有权

在虚拟主机配置文件（ /usr/local/nginx/conf/vhost/linuxstory.org.conf ）中添加如下内容，这一步是为了通过 Let’s Encrypt 的验证，验证 linuxstory.org 这个域名是属于我的管理之下。（具体解释可见下一章“一些补充说明”的“certbot 的两种工作方式”）

location ^~ /.well-known/acme-challenge/ {

default_type "text/plain";

root /home/wwwroot/linuxstory.org/;

}

location = /.well-known/acme-challenge/ {

return 404;

}

3、重载 nginx

配置好 Nginx 配置文件，重载使修改生效（如果是其他系统nginx 重载方法可能不同）

1	sudo nginx -s reload

4、生成证书

1	./certbot-auto certonly --webroot -w /home/wwwroot/linuxstory.org -d linuxstory.org

中间会有一些自动运行及安装的软件，不用管，让其自动运行就好，有一步要求输入邮箱地址的提示，照着输入自己的邮箱即可，顺利完成的话，屏幕上会有提示信息。

此处有坑！如果顺利执行请直接跳到第五步，我在自己的服务器上执行多次都提示

1	connection :: The server could not connect to the client for DV :: DNS query timed out

发现问题出在 DNS 服务器上，我用的是 DNSpod ，无法通过验证，最后是将域名的 DNS 服务器临时换成 Godaddy 的才解决问题，通过验证，然后再换回原来的 DNSpod 。

证书生成成功后，会有 Congratulations 的提示，并告诉我们证书放在 /etc/letsencrypt/live 这个位置

IMPORTANT NOTES:

- Congratulations! Your certificate and chain have been saved at

/etc/letsencrypt/live/linuxstory.org/fullchain.pem. Your cert

will expire on 2017-02-011. To obtain a new version of the

certificate in the future, simply run Let's Encrypt again.

5、配置 Nginx（修改 /usr/local/nginx/conf/vhost/linuxstory.org.conf），使用SSL 证书

listen 443 ssl;

server_name linuxstory.org www.linuxstory.org;

index index.html index.htm index.php;

root /home/wwwroot/linuxstory.org;

ssl_certificate /etc/letsencrypt/live/linuxstory.org/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/linuxstory.org/privkey.pem;

上面那一段是配置了 https 的访问，我们再添加一段 http 的自动访问跳转，将所有通过 http://www.linuxstory.org 的访问请求自动重定向到 https://linuxstory.org

server {

listen 80;

server_name linuxstory.org www.linuxstory.org;

return 301 https://$server_name$request_uri;

}

6、重载 nginx，大功告成，此时打开网站就可以显示绿色小锁了

1	sudo nginx -s reload

♦后续工作

出于安全策略， Let’s Encrypt 签发的证书有效期只有 90 天，所以需要每隔三个月就要更新一次安全证书，虽然有点麻烦，但是为了网络安全，这是值得的也是应该的。好在 Certbot 也提供了很方便的更新方法。

1、测试一下更新，这一步没有在真的更新，只是在调用 Certbot 进行测试

1	./certbot-auto renew --dry-run

如果出现类似的结果，就说明测试成功了（总之有 Congratulations 的字眼）

Congratulations, all renewals succeeded. The following certs have been renewed: 

/etc/letsencrypt/live/linuxstory.org/fullchain.pem (success)

** DRY RUN: simulating 'certbot renew' close to cert expiry

** (The test certificates above have not been saved.)

2、手动更新的方法

1	./certbot-auto renew -v

3、自动更新的方法

1	./certbot-auto renew --quiet --no-self-upgrade

♦一些补充说明解释

1、certbot-auto 和 certbot

certbot-auto 和 certbot 本质上是完全一样的；不同之处在于运行 certbot-auto 会自动安装它自己所需要的一些依赖，并且自动更新客户端工具。因此在你使用 certbot-auto 情况下，只需运行在当前目录执行即可

1	./certbot-auto

2、certbot的两种工作方式

certbot （实际上是 certbot-auto ）有两种方式生成证书：

standalone 方式： certbot 会自己运行一个 web server 来进行验证。如果我们自己的服务器上已经有 web server 正在运行（比如 Nginx 或 Apache ），用standalone 方式的话需要先关掉它，以免冲突。
webroot 方式： certbot 会利用既有的 web server，在其 web root目录下创建隐藏文件， Let’s Encrypt 服务端会通过域名来访问这些隐藏文件，以确认你的确拥有对应域名的控制权。

本文用的是 webroot 方式，也只推荐 webroot 方式，这也是前文第二步验证域名所有权在 nginx 虚拟主机配置文件中添加 location 段落内容的原因。

呜呼，安得 SSL 安全证书千万张，大庇天下网站安全俱欢颜！希望互联网早日进入 https 普及化。

linux技术交流群：295294329

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

阿里面试官没想到，一个Volatile，我都能跟他吹半小时
点赞再看，养成习惯，微信搜索【三太子敖丙】关注这个互联网苟且偷生的工具人。本文 GitHub https://github.com/JavaFamily 已收录，有一线大厂面试完整考点、资料以及我的系列文章。Volatile可能是面试里面必问的一个话题吧，对他的认知很多朋友也仅限于会用阶段，今天我们换…...
2024/4/21 9:43:54
用 Raw Socket 实现 Sniffer
一. 摘要Raw Socket: 原始套接字可以用它来发送和接收 IP 层以上的原始数据包, 如 ICMP, TCP, UDP...int sockRaw = socket(AF_INET, SOCK_RAW, IPPROTO_RAW);这样我们就创建了一个 Raw SocketSniffer: 嗅探器关于嗅探器的原理我想大多数人可能都知道1. 把网卡置于混杂模式;2. …...
2024/4/21 9:43:54
数字货币开发专题(PoS挖矿教程普通电脑即可挖矿）
区块链爱好者（QQ：53016353）区块链的最显著的创新是采用了混合挖矿的方式来维护区块链的网络安全，即工作量证明挖矿PoW，及权益证明PoS挖矿。 PoS挖矿让持币者（任何在其区块链钱包里有余额的人），可以用通过持有区块链的证明来进行PoS挖矿。以下是利用区块链客户端进行Po…...
2024/4/21 9:43:52
电力行业安全建设方案
1. 电力行业概述1.1. 电力行业简介电力系统是由发电、输电、变电、配电、用电设备及相应的辅助系统组成的电能生产、输送、分配、使用的统一整体。由输电、变电、配电设备及相应的辅助系统组成的联系发电与用电的统一整体称为电力网。电力工业是国民经济发展中最重要的基础能…...
2024/4/21 9:43:51
会话劫持攻击实战详解
前言通常，大家所说的入侵，都是针对一台主机，在获得管理员权限后，就很是得意；其实，真正的入侵是占领整个内部网络。针对内部网络的攻击方法比较多，但比较有效的方法非ARP欺骗、DNS欺骗莫属了。但是，不管使用什么技术，无非都是抓取目标的数据包，然后分析出敏感数据。如…...
2024/4/20 14:21:28
从零开始学习OpenWrt完美教程
http://zhidx.com/p/186.html从零开始学习OpenWrt完美教程Cisco/Linksys在2003年发布了WRT54G这款无线路由器，同年有人发现它的IOS是基于Linux的，然而Linux是基于GPL许可证发布的，按照该许可证Cisco应该把WRT54G 的IOS的源代码公开。2003年3月， Cisco迫于公众压力公开了WRT…...
2024/4/26 18:55:50
Java 资源大全中文版
我想很多程序员应该记得 GitHub 上有一个 Awesome - XXX 系列的资源整理。awesome-java 就是 akullpp 发起维护的 Java 资源列表，内容包括：构建工具、数据库、框架、模板、安全、代码分析、日志、第三方库、书籍、Java 站点等等。伯乐在线已经开始把 awesome-java 资源列表翻…...
2024/4/21 9:43:49
docker教程,dockerfile教程
全栈工程师开发手册（作者：栾鹏）数据架构师全解docker安装请参考：https://blog.csdn.net/luanpeng825485697/article/details/80862581 ubuntu可以使用下面的命令 apt-get update apt-get install docker.io或者离线下载 https://pan.baidu.com/s/1otBuowdXwv_UJwb698qOEA…...
2024/4/21 9:43:47
C++视频教程资源链接合集
链接：http://pan.baidu.com/s/1c0tXu5E 密码：2y6b 2015-05-30 打造自己的QQ 链接：http://pan.baidu.com/s/1sjNtc9R 密码：wyeo 2015-06-02_系统架构链接：http://pan.baidu.com/s/1o6CEDVs 密码：xu4f 2015-05-20_找女朋友咯链接：http://pan.baidu.com/s/1pJwYFsn 密码：…...
2024/4/21 9:43:46
ESB系列之中间件技术入门教程
文章目录 ##前言## 本博客介绍Java中间件的一些知识，仅仅是一些知识储备。 ##中间件## ###中间件概念### 中间件：中间件是一种介于操作系统和应用软件之间的一种软件，它使用系统软件所提供的基础服务（功能），衔接网络上应用系统的各个部分或不同的应用，能够达到资源共享、…...
2024/4/20 18:04:12
chrome下载管理器，一种扩展多种功能
Chrono下载管理器虽然chrome几乎已经成为浏览器的业界标杆，但我们还是不得不承认它的一些缺点。使用过chrome自带下载工具的朋友应该能深切地体会到这一点 —— chrome下载器不仅功能简陋，还会限制文件下载速度和数量。其中最最让人反感的，就是一旦开始下载就自动出现的底部…...
2024/4/27 14:34:33
计算机漏洞安全相关的概念POC | EXP | VUL | CVE | 0DAY
转：http://blog.csdn.net/wangjianno2/article/details/513390641.POC POC，Proof ofConcept，中文意思是“观点证明”。这个短语会在漏洞报告中使用，漏洞报告中的POC则是一段说明或者一个攻击的样例，使得读者能够确认这个漏洞是真实存在的。 2.EXP EXP，Expl…...
2024/4/20 18:04:10
20189216 《网络攻防技术》第四周作业
教材和视频学习总结一、教材第四章内容学习总结网络嗅探与协议分析无论是对于网络攻击者、还是防御者，或安全研发人员，都是一个基础技术。本章主要详细介绍了嗅探与协议分析技术原理、实现机制和软件工具。让我们掌握了解使用tcpdump和Wireshark工具。网络嗅探嗅探技术是…...
2024/4/20 18:04:09
中文字体的英文名称 (simhei, simsun) 宋体微软雅黑
华文细黑：STHeiti Light [STXihei]华文黑体：STHeiti华文楷体：STKaiti华文宋体：STSong华文仿宋：STFangsong俪黑 Pro：LiHei Pro Medium俪宋 Pro：LiSong Pro Light标楷体：BiauKai苹果俪中黑：Apple LiGothic Medium苹果俪细宋：Apple LiSung LightWindows的一些：新细明体…...
2024/4/20 18:04:08
c#教程与视频教程类专题资料免费下载整理合集
个人github：https://github.com/qiilee 欢迎followc#教程与视频教程类专题资料免费下载整理合集《Visual C++范例开发大全》随书光盘【2.7GB】http://www.xuexi111.com/jiaocheng/shipin/28161.html《C#与.NET 4高级程序设计》(Pro C# 2010 and the .NET 4 Platform)第5版【1…...
2024/4/20 18:04:07
内网劫持结合metasploit
内网劫持命令：bettercap -X -I eth0 -G 192.168.211.1 -T 192.168.211.137 --dns /root/桌面/dns.confettercap -Tq -i eth0 -P dns_spoof -T 192.168.211.137ipconfig/flushdns 清除缓存echo 1 > /proc/sys/net/ipv4/ip_forward 启用内核包转发，修改/proc/sys/net/i…...
2024/4/19 20:19:55
安装黑苹果目前最详细教程
http://bbs.feng.com/read-htm-tid-2994653.html最详细，最适合新手的教程：如何原版安装mac从windows到mac os（安装黑苹果目前最详细教程，嘿嘿，自封）最近网上有不少如何安装苹果系统的教程，个人感觉都不错，但是有些地方还是不够详细，所以我决定写一个比较详细的教程。鉴…...
2024/4/20 18:04:05
网页Unity3D游戏资源的获取和解包
首先对上一篇做一些遗漏的的补充1、文件夹中的文件类型的说明的补充Mannaged：这个文件夹下放的都是dll，Unity3D的逻辑脚本编译成dll后就放在这里面；resources.assets：游戏所有放在resources文件夹下的东西都会嵌在里面；Raw：如果游戏在StreamingAssets文件夹下放东西，那…...
2024/4/21 9:43:46
1 Springboot SpringCloud集成OAuth2入门详细教程
关于OAuth2的解释，有一篇比较出名的文章——理解OAuth 2.0 - 阮一峰的网络日志（http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html），可以了解一下OAuth2的基础知识。简单理解一下OAuth2，你要登录一个XX网站下片，但是下片需要注册登录成为这个网站的会员，你不想注册…...
2024/4/21 9:43:45
史上最详细Git使用教程
本篇为廖雪峰老师官方网站中Git教程的学习笔记Git是世界上最先进的分布式版本控制系统，克隆一个项目的速度非常快每个开发都可以从master上克隆一个本地版本库，就算没有网络，也可以提交代码到本地仓库、查看log、创建项目分支等等每个版本库都可以创建无限个分支，分支是个完…...
2024/4/21 9:43:43

HTTPS 简介及使用官方工具 Certbot 配置 SSL 安全证书详细教程

相关文章

最新文章