相对来说,个人网站建立SSL是昂贵的,而且往往过程繁琐。一个标准的2048位证书费用至少150美元/年,网站除了要支付一笔昂贵的费用、重新配置Web服务器,并需要解决大量的配置错误。这让广大中小网站望而生畏。

然而,Let's Encrypt免费证书的开放,极大推进了国内 HTTPS 的进程。Let's Encrypt 真正的意义在于,它推动了 HTTPS 在小型网站和个人网站中的应用,加速全面 HTTPS 时代的到来。Let's Encrypt 的最大贡献是它的 ACME 协议,第一份全自动服务器身份验证协议,以及配套的基础设施和客户端。这是为了解决一直以来 HTTPS TLS X.509 PKI 信任模型,即证书权威(Certificate Authority, CA)模型缺陷的一个起步。

Let'sEncrypt的工作原理

看图:

ACME 解决了私钥持有者验证自己身份这一过程的自动化问题。

在CentOS6,CentOS7上安装Let's Encrypt

非营利组织电子前沿基金会的CertBot是一个很好的工具,我们使用它来安装Let's Encrypt

一、升级系统

  1. # yum -y update

二、安装EPEL库,为CertBot提供最新的Python包。

  1. # yum -y install epel-release

三、下载CertBot

1、CentOS7:

  1. # yum -y install python-certbot-apache

2、CentOS6:

  1. # wget https://dl.eff.org/certbot-auto
  2. # chmod 755 certbot-auto

四、Apache下配置Let's Encrypt

执行下条命令

  1. # ./certbot-auto --apache

根据提示操作

  1. /root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
  2. DeprecationWarning
  3. Saving debug log to /var/log/letsencrypt/letsencrypt.log
  4. Enter email address (used for urgent renewal and security notices) (Enter 'c' to
  5. cancel):输入管理员邮箱
  6. -------------------------------------------------------------------------------
  7. Please read the Terms of Service at
  8. https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf. You must agree
  9. in order to register with the ACME server at
  10. https://acme-v01.api.letsencrypt.org/directory
  11. -------------------------------------------------------------------------------
  12. (A)gree/(C)ancel: A
  13. -------------------------------------------------------------------------------
  14. Would you be willing to share your email address with the Electronic Frontier
  15. Foundation, a founding partner of the Let's Encrypt project and the non-profit
  16. organization that develops Certbot? We'd like to send you email about EFF and
  17. our work to encrypt the web, protect its users and defend digital rights.
  18. -------------------------------------------------------------------------------
  19. (Y)es/(N)o: Y
  20. Which names would you like to activate HTTPS for?
  21. -------------------------------------------------------------------------------
  22. 1: www.xi-chuang.com
  23. -------------------------------------------------------------------------------
  24. Select the appropriate numbers separated by commas and/or spaces, or leave input
  25. blank to select all options shown (Enter 'c' to cancel):1
  26. Obtaining a new certificate

成功后,在/etc/letsencrypt/live/www.xi-chuang.com/下生成4个证书:

  1. cert.pem ->
  2. chain.pem ->
  3. fullchain.pem ->
  4. privkey.pem ->

五、打开防火墙iptables的443端口

  1. -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
  2. #service iptables restart

六、编辑ssl.conf

vi /etc/httpd/conf.d/ssl.conf

  1. # General setup for the virtual host, inherited from global configuration
  2. DocumentRoot "/var/www/html/xi-chuang.com"
  3. ServerName www.xi-chuang.com:443
  4. .
  5. .
  6. .
  7. SSLCertificateFile /etc/letsencrypt/live/www.xi-chuang.com/fullchain.pem
  8. .
  9. .
  10. .
  11. SSLCertificateKeyFile /etc/letsencrypt/live/www.xi-chuang.com/privkey.pem
  12. .
  13. .
  14. .

service httpd restart

七、这个时候网站HTTPS已经能够访问了,试一下

最后,通过.htaccess进行301转向

  1. RewriteEngine On
  2. RewriteCond %{SERVER_PORT} 80
  3. RewriteRule ^(.*)$ https://www.xi-chuang.com/$1 [R=301,L]
  4. RewriteCond %{HTTP_HOST} !^www.xi-chuang.com$ [NC]
  5. RewriteRule ^(.*)$ https://www.xi-chuang.com/$1 [L,R=301]

八、大功告成

注意:Let'sEncrypt的证书有效期为90天,因此,建议使用cron作业在证书到期前一周将证书renew

在CentOS6,CentOS7安装 Let'sEncrypt 免费SSL安全证书的更多相关文章

  1. 去freessl.org申请免费ssl服务器证书

    去freessl.org申请免费ssl服务器证书 来源: 本文链接 来自osnosn的博客 写于: 2019-03-30. 想搞个自签名证书,可以参考这篇: 用openssl为WEB服务器生成证书(自 ...

  2. 申请安装阿里云免费SSL证书

    微信小程序已经全面要求使用HTTPS服务了,还有苹果商店也是,所以,实现网站HTTPS已经很有必要.要实现HTTPS就需要一个SSL证书,证书大部分都很贵,不过也有一些免费的证书服务供个人开发者使用. ...

  3. centos6 / centos7 安装apache

    =================centos6.1 安装apache===================== 安装: yum -y install httpd 启动 /etc/init.d/htt ...

  4. 免费 SSL 安全证书

    为了保证网上传输信息的安全而在自己的 Linode VPS 上部署 SSL 加密服务.商业 CA 较贵,所以使用了自己签发的 CA.网友神爱的留言提到了 StartSSL 的免费 CA,稍做了一些调查 ...

  5. 云栖社区> > 正文 永久免费SSL安全证书Letsencrypt安装使用方法

    ./letsencrypt-auto certonly --standalone --email admin@thing.com -d thing.com -d www.thing.com

  6. 【转】IIS - 自动申请、部署Let's Encrypt的免费SSL证书

    IIS - 自动申请.部署Let's Encrypt的免费SSL证书(让网站实现HTTPS协议) 2017-12-19发布:hangge阅读:161   一.HTTPS 协议介绍 1,什么是 HTTP ...

  7. IIS - 自动申请、部署Let's Encrypt的免费SSL证书(让网站实现HTTPS协议)

    IIS - 自动申请.部署Let's Encrypt的免费SSL证书(让网站实现HTTPS协议) 2017-12-19发布:hangge阅读:161   一.HTTPS 协议介绍 1,什么是 HTTP ...

  8. Let'sEncrypt 免费通配符/泛域名SSL证书添加使用教程

    Let'sEncrypt 免费通配符/泛域名SSL证书添加使用教程 通配符证书一般还是比较贵的一般最便宜的通配符证书5.60美元一年,只不过Let'sEncrypt的有效期是3个月,对于一般用户来说基 ...

  9. LNMP安装Let’s Encrypt 免费SSL证书方法:自动安装与手动配置Nginx

    前几天介绍了最新StartSSL免费SSL申请与配置,很多人看到部落介绍SSL证书安装时总是推荐了OneinStack,因为OneinStack提供了一键添加和配置Let's Encrypt 免费SS ...

随机推荐

  1. LVS 源代码分析

    http://blog.chinaunix.net/uid/11207493.html http://zh.linuxvirtualserver.org/blog/3309

  2. Oracle基础(四)pl/sql

    PL/SQL也是一种程序语言,叫做过程化SQL语言(Procedural Language/SQL). PL/SQL是Oracle数据库对SQL语句的扩展.在普通SQL语句的使用上添加了编程语言的特点 ...

  3. 此人牛b,学习榜样

    http://liyangliang.me/about/ ------------------------------------------------------------2017年11月12日 ...

  4. Linux下使用Vi是方向键变乱码 退格键不能使用的解决方法

    在Linux下编辑一些文件.这就涉及到了vi这个编辑器了.在Linux下,初始使用vi的时候有点问题.就是在编辑模式下使用方向键的时候,并不会使光标移动,而是在命令行中出现[A [B [C [D之类的 ...

  5. python编程(基于twisted的client编程)

    [ 声明:版权全部,欢迎转载.请勿用于商业用途. 联系信箱:feixiaoxing @163.com] python的twisted比較有意思,既能够做server方面的编程,也能够做client方面 ...

  6. C# 生成pdf文件客户端下载

    itextsharp.dll 下载:http://sourceforge.net/projects/itextsharp/ 程序需引用:itextsharp.dll,itextsharp.pdfa.d ...

  7. oc69--NSMutableString

    // main.m // NSMutableString基本概念,NSString是不可变字符串,NSMutableString是可变字符串.NSMutableString继承NSString,所以N ...

  8. bzoj 5090 组题

    题目大意: 一个数列,求一段长度不少于k的数 使平均值最大 思路: 把所有数列里的数,转换为(i,sum i)的点 然后求一个下凸包,在这个过程中对于长度特殊处理一下,使栈内至少有一段长度大于等于k ...

  9. Java多线程相关的常用接口

    Runnable 是一个接口,里面只声明了一个方法run();返回值为void所以无法拿到执行完的结果.只能通过共享变量或者线程通信来搞定.Future就是对具体的Runable或者Callable任 ...

  10. 使用centos 5.x 64位系统安装astgo 2014 v7.3教程(含全套安装文件)

    版本特色: 全自动安装 安装过程中不用频繁输入yes或回车 自带完整号码归属地数据库 自带触屏版WAP ·首先确定你需要使用astgo 2014 7.0还是7.3: astgo 2014 v 7.0 ...