首页 > 其他分享 >手动申请免费泛域名证书

手动申请免费泛域名证书

时间:2024-02-18 11:55:41浏览次数:34  
标签:11 xxx 证书 -- 18 手动 pem 域名 root

这里使用的是 certbot

环境

属性
系统 Ubuntu
版本 22.04.3 LTS
certbot版本 1.21.0

安装

sudo apt update
sudo apt install certbot

查看

$ certbot --version
certbot 1.21.0

使用

首次使用还会提示需要同意协议

同意协议

$ certbot certonly --manual --email [email protected] --preferred-challenges  dns -d *.xxx.xxx

Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.3-September-21-2022.pdf. You must
agree in order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: 

这里是提示您阅读 Let's Encrypt 的服务条款(Terms of Service),并要求您同意这些条款以便在 ACME 服务器上注册。

Let's Encrypt 是一个提供免费 SSL/TLS 证书的服务,你需要同意其服务条款才能使用其服务。

您可以通过访问提供的链接(https://letsencrypt.org/documents/LE-SA-v1.3-September-21-2022.pdf)阅读服务条款。

如果您同意这些条款,请在提示中输入 y 并按 Enter 键确认。如果您不同意这些条款,请输入 N 并按 Enter 键退出 Certbot。

是否接收邮件

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: 

这里是在询问你是否愿意在成功颁发第一个证书后与电子前沿基金会(Electronic Frontier Foundation,简称 EFF)共享你的电子邮件地址。

电子前沿基金会是 Let's Encrypt 项目的创始合作伙伴之一,也是开发 Certbot 的非盈利组织。

他们希望与你联系,向你发送有关其在加密网络方面的工作、新闻、活动以及如何支持数字自由的信息。

如果你愿意接收这些电子邮件,请在提示中输入 Y 并按 Enter 键确认。

如果你不希望接收这些电子邮件,请输入 N 并按 Enter 键拒绝。

新建DNS记录

Account registered.
Requesting a certificate for *.xxx.xxx

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name:

_acme-challenge.xxx.xxx.

with the following value:

AOuRcwkvyyKOT_ZKQs8xrrEVGxs1AAOGMqwdvnj0ERs

Before continuing, verify the TXT record has been deployed. Depending on the DNS
provider, this may take some time, from a few seconds to multiple minutes. You can
check if it has finished deploying with aid of online tools, such as the Google
Admin Toolbox: https://toolbox.googleapps.com/apps/dig/#TXT/_acme-challenge.xxx.xxx.
Look for one or more bolded line(s) below the line ';ANSWER'. It should show the
value(s) you've just added.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue

这里是提示,需要在本域名的DNS权威服务器或者DNS 提供商中创建一个 TXT 记录

DNS提供商

权威服务器类似

_acme-challenge         TXT     "AOuRcwkvyyKOT_ZKQs8xrrEVGxs1AAOGMqwdvnj0ERs"

公网校验

$ dig _acme-challenge.xxx.xxx txt

; <<>> DiG 9.18.12-0ubuntu0.22.04.3-Ubuntu <<>> _acme-challenge.xxx.xxx txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2704
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;_acme-challenge.xxx.xxx.	IN	TXT

;; ANSWER SECTION:
_acme-challenge.xxx.xxx. 600	IN	TXT	"AOuRcwkvyyKOT_ZKQs8xrrEVGxs1AAOGMqwdvnj0ERs"

;; Query time: 196 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sun Feb 18 11:15:57 CST 2024
;; MSG SIZE  rcvd: 110

解析成功,回车 ,生成证书

生成证书


Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/xxx.xxx/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/xxx.xxx/privkey.pem
This certificate expires on 2024-05-18.
These files will be updated when the certificate renews.

NEXT STEPS:
- This certificate will not be renewed automatically. Autorenewal of --manual certificates requires the use of an authentication hook script (--manual-auth-hook) but one was not provided. To renew this certificate, repeat this same certbot command before the certificate's expiry date.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:
 * Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
 * Donating to EFF:                    https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

会提示成功,并显示到期时间,并给出证书位置

证书的有效期只有90天,到期了需要手动再申请

查看证书

上面也是给出了证书的目录

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/xxx.xxx/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/xxx.xxx/privkey.pem

查看证书目录

$ ll /etc/letsencrypt/live/xxx.xxx/
总计 12
drwxr-xr-x 2 root root 4096 Feb 18 11:16 ./
drwx------ 3 root root 4096 Feb 18 11:16 ../
-rw-r--r-- 1 root root  692 Feb 18 11:16 README
lrwxrwxrwx 1 root root   33 Feb 18 11:16 cert.pem -> ../../archive/xxx.xxx/cert1.pem
lrwxrwxrwx 1 root root   34 Feb 18 11:16 chain.pem -> ../../archive/xxx.xxx/chain1.pem
lrwxrwxrwx 1 root root   38 Feb 18 11:16 fullchain.pem -> ../../archive/xxx.xxx/fullchain1.pem
lrwxrwxrwx 1 root root   36 Feb 18 11:16 privkey.pem -> ../../archive/xxx.xxx/privkey1.pem

可以看到,其实就是从archive目录下生成的软连接

$ ll /etc/letsencrypt/archive/xxx.xxx/
总计 24
drwxr-xr-x 2 root root 4096 Feb 18 11:16 ./
drwx------ 3 root root 4096 Feb 18 11:16 ../
-rw-r--r-- 1 root root 1757 Feb 18 11:16 cert1.pem
-rw-r--r-- 1 root root 1826 Feb 18 11:16 chain1.pem
-rw-r--r-- 1 root root 3583 Feb 18 11:16 fullchain1.pem
-rw------- 1 root root 1704 Feb 18 11:16 privkey1.pem

使用

在nginx中,只需要将 fullchain1.pemprivkey1.pem 安装到对应的位置,并开启https就可以了

选项

命令

certbot certonly --manual --email [email protected] --preferred-challenges  dns -d *.xxx.xxx
  • certonly :此选项告诉 Certbot 仅获取证书,而不安装它。这对于在手动配置 Web 服务器以使用证书时非常有用。
  • manual :此选项告诉 Certbot 使用手动验证方法。在这种情况下,您需要手动完成验证过程,例如创建 DNS 记录或配置 Web 服务器。
  • --email [email protected] :此选项告诉 Certbot 在验证过程中使用 [email protected] 作为您的电子邮件地址。这对于接收有关证书过期和其他相关通知非常有用。
  • --preferred-challenges dns :此选项告诉 Certbot 优先使用 DNS 验证方法。在这种情况下,您需要在您的 DNS 提供商中创建一个 TXT 记录,以便验证您对域名的所有权。
  • -d *.xxx.xxx :此选项告诉 Certbot 为通配符域名 *.xxx.xxx 获取证书。这意味着证书将适用于 xxx.xxx 和所有子域名。

总结

以上方法只是一个简单轻量的申请免费证书的方法,当然,还有许多其他更好的方法,大家也可以在评论区分享自己使用其他比较方便的方法,互相学习。

以上大家使用的时候,只需要将邮箱换成自己的邮箱,域名换成自己的域名就可以了

标签:11,xxx,证书,--,18,手动,pem,域名,root
From: https://www.cnblogs.com/guangdelw/p/18019050

相关文章

  • 【网络基础】个人域名申请过程
    1  前言之前趁腾讯云搞活动,买了两台一年的轻量级应用服务器,搭搭自己的微服务,方便自己测试研究嘛,后来看见域名有便宜的,就买了一个,然后要各种备案啊,走流程啊,这里来记录下一个个人域名到能解析到自己的网站的过程哈。我的资源都在腾讯云哈,两台轻量级应用服务器、域名也都是在腾讯......
  • debian12手动控制thinkpad风扇转速
    配置驱动添加如下配置文件,并重启系统~✘cat/etc/modprobe.d/thinkpad_acpi.confoptionsthinkpad_acpifan_control=1~✘配置确认驱动加载~✘lsmod|grepthinkpad_acpithinkpad_acpi1392640nvram163841thinkpad_acpip......
  • idea里集成uglifyjs实现自动和手动压缩混淆js
    项目中可能会多次修改某些*.js文件,但是引用的是*.min.js,所以需要再改完源码后生成压缩的min.jsuglifyjs是个不错的工具,但是单独用略显麻烦,如果能整合到idea就好了。正好idea有这个功能。 1.安装nodejshttps://nodejs.org/dist/v8.9.3/node-v8.9.3-x64.msi   下......
  • 使用cert-manager自动签发证书
    1.ingress准备整体部署参考文档:https://cert-manager.io/docs/tutorials/acme/nginx-ingress1.1.helm部署前言:本地部署版本不是高可用版本,为单节点,目的是用于演示。helmrepoaddingress-nginxhttps://kubernetes.github.io/ingress-nginxhelmrepoupdate根据对应kuberne......
  • LeviLamina(llv3)手动安装
    LeviLamina(llv3)手动安装1.下载文件安装llv3本体所需要的文件:LeviLaminaPreLoaderPeEditorllv3加载旧版本插件需要的文件:LegacyScriptEngineLegacyMoneyLegacyRemoteCallLegacyParticleAPI到release里面下载最新的发行版本其它的大同小异也可以到action里面下载......
  • 解决kubeadm部署的k8s 集群证书过期
    目录一、查看证书过期时间1.1方式一1.2方式二二、通过命令续期2.1修改集群内所有机器的时间,模拟证书在过期的边缘2.2查看证书有效期2.3备份原有数据2.4备份证书2.5更新证书2.6确认证书有效期2.7更新kubeconfig文件2.8更新客户端证书2.9重启相关的po......
  • 使用 Kestrel 自托管https 并作为 Windows 服务启动 Blazor 提示: 无法配置 HTTPS 端
    原文链接https://stackoverflow.com/questions/53300480/unable-to-configure-https-endpoint-no-server-certificate-was-specified-and-the/71026252#71026252使用Kestrel自托管并作为Windows服务启动Blazor提示UnabletoconfigureHTTPSendpoint.Noservercertifi......
  • k8s 怎么手动拉取docker镜像?
    k8s怎么手动拉取docker镜像?在Kubernetes(K8s)中管理和部署应用时,手动拉取Docker镜像是一项基本操作。在Kubernetes中,Pod创建时通常会在其配置文件(Deployment,StatefulSet等)中指定需要使用的Docker镜像。但如果你想先手动将镜像拉取到集群节点上,可以按照以下步骤进行:首先,确保......
  • SSL证书使用了弱Hash算法漏洞修复
    首先确认端口号,如果为3389端口,那就是远程桌面服务中的算法有弱Hash算法。在Windows中打开计算机配置-管理模板-Windows组件-网络-SSL配置设置查看配置中是否存在包含MD2、MD3、MD4、MD5、SHA-1等算法,如果有就删掉。将配置算法粘贴到一个文本文件中修改时注意官方的修改方......
  • 苹果证书过期有什么影响
    引言苹果证书是一种数字签名,用于验证应用程序的身份和完整性。然而,若该证书过期,将会对用户和开发者带来一定的影响。在本文中,我们将详细介绍苹果证书过期的原理和影响,并提供一些解决方法。苹果证书的原理苹果证书是为了确保应用程序的合法性和完整性而产生的。在开发者提交应用......