惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

雷峰网
雷峰网
T
The Blog of Author Tim Ferriss
WordPress大学
WordPress大学
V
V2EX
Jina AI
Jina AI
S
Schneier on Security
Cyberwarzone
Cyberwarzone
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
PCI Perspectives
PCI Perspectives
美团技术团队
小众软件
小众软件
L
LangChain Blog
N
Netflix TechBlog - Medium
大猫的无限游戏
大猫的无限游戏
T
Threatpost
T
Tor Project blog
K
Kaspersky official blog
Microsoft Security Blog
Microsoft Security Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
Security Latest
Security Latest
H
Heimdal Security Blog
N
News and Events Feed by Topic
T
Threat Research - Cisco Blogs
J
Java Code Geeks
H
Hackread – Cybersecurity News, Data Breaches, AI and More
T
Tailwind CSS Blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
M
MIT News - Artificial intelligence
Apple Machine Learning Research
Apple Machine Learning Research
N
News | PayPal Newsroom
I
Intezer
博客园 - 聂微东
U
Unit 42
Cisco Talos Blog
Cisco Talos Blog
量子位
T
The Exploit Database - CXSecurity.com
Last Week in AI
Last Week in AI
博客园_首页
月光博客
月光博客
Webroot Blog
Webroot Blog
I
InfoQ
The Cloudflare Blog
Attack and Defense Labs
Attack and Defense Labs
人人都是产品经理
人人都是产品经理
Project Zero
Project Zero
Hacker News: Ask HN
Hacker News: Ask HN
IT之家
IT之家
Google DeepMind News
Google DeepMind News
C
Cisco Blogs

陈少文的网站

巨变与机遇的未来十年 Kubernetes 平台管理软件压力测试方案 使用镜像部署 Hexo 静态页面 终于等到你 - GitHub 镜像仓库服务(ghcr.io) 一起来学 Go --(6)Interface 一起来学 Go --(5)Goroutine 和 Channel 什么是函数式编程 如何在 Kubernetes 集群集成 Kata 柯里化与偏函数 使用 PyGithub 自动创建 Label 软件产品是团队能力的输出 Helm 2 、Helm 3 比较 IoT 变现 Kubernetes 中的 DNS 服务 国内的 Helm 镜像源 Harbor 使用自签证书支持 Https 访问 DevOps 工具链之 Prow 如何使用 kfctl 安装 Kubeflow VS Code 无法下载 Go 插件的工具包 工程师更应具有服务精神 你不知道的 Docker 使用技巧 使用 Docker 运行 Tensorflow 论中国 什么是左移 如何清空 Git 仓库全部历史记录 一禅小和尚 有风吹过厨房 时间的玫瑰 如何在 CentOS 安装 GPU 驱动 开发 Tips(19) 使用 Velero 备份 Kubernetes 集群 Kubernetes Cheat Sheet 开发 Tips(18) 如何构建一个 Java 工程 开发 Tips(17) KubeSpray 安装 Kubernetes 报错 ip in ansible_all_ipv4_addresses 基于 Kubernetes 和 Jenkins 搭建自动化测试系统 在 Kubernetes 上动态创建 Jenkins Slave 使用 Jenkins 进行服务拨测 开发 Tips(16) Kubernetes 签发 Ingress 证书及日常故障运维 Kubernetes 中 Deployment 的基本操作 Kubernetes 中的证书 如何使用 KubeBuilder 开发一个 Operator Kubernetes 1.6.0 安装问题汇总 镜像管理工具 -- Harbor 开发 Tips(15) Docker 如何拉取镜像 开发 Tips(14) 使用 Helm 安装 harbor 开发 Tips(13) 使用 S2I 构建云原生应用 在 Kubernetes 中使用 emptyDir、hostPath、localVolume 开发 Tips(12) 开发 Tips(11) 代码质量分析工具 SonarQube 使用 Kubeadm 安装 Kubernetes 集群 一起来学 Go --(4)常用函数 Kubernetes 中的 Ceph Kubernetes 之 Volumes Kubernetes 之 Labels、Selectors 开发 Tips(10) 开源正在重构商业模式 Kubernetes 之网络 Kubernetes 之 API 使用 Helm 和 Operator 快速部署 Prometheus Kubernetes 复杂有状态应用管理框架 -- Operator Kubernetes 的包管理器 -- Helm 一起来学 Go --(3)Go Modules 如何一步一步地优化博客方案 kubectl 实用指南 Kubernetes 中的基本概念 搭建远程 Kubernetes 开发环境 大公司和小公司的 ToB 思路 开发 Tips(9) Go 入门指南 一起来学 Go --(2)数据与逻辑结构 如何预防 Web 富文本中的 XSS 攻击 django-xss-cleaner 云工作时代 一起来学 Go --(1)背景与特点 SaaS 开发团队的不同阶段 你不知道的 Git 使用技巧 输出既服务 微服务设计 继续奔跑 开发 Tips(8) 从账户安全到二次验证 Django 性能之数据库查询优化 Django 性能之分库分表 敏捷开发之研发流程 打造一致性的团队 开发 Tips(7) Pytest 进阶学习之 Mock PaaS 部署之 buildpack Go 开发配置 领域输出才是 PaaS 的核心竞争力 Pytest 入门学习 开发 Tips(6) 如何使用 Jenkins、Docker、GitLab 搭建 Django 自动化部署流程
Let's Encrypt证书生成与使用
微信公众号 · 2016-06-28 · via 陈少文的网站

1. SSL证书

先来了解几个概念

1.1 数字证书

包含加密用的公钥或私钥,还有一些身份附加信息。任何人都可以使用相关工具生成自己的数字证书,用来加密文件、邮件,或用于通讯加密。

1.2 SSL 协议

用于网络通讯的加密协议。通信过程需要一份数字证书,使用里面的公钥及私钥来发送随机生成的通信秘钥。在握手完成后,SSL证书并不用于通信内容的加密。

1.3 CA 证书

CA(Certification Authority),它的中文意思是证书授权,是一个单位,来管理发放数字证书。由它发放的证书就叫CA证书,以区别于个人使用工具随意生成的数字证书,查看CA 证书,里面有两项重要内容,一个是颂发给谁,另一个是由谁颂发的。CA证书分为3类,DV 域名验证证书,OV 组织机构验证证书,EV 增强的组织机构验证证书。一般个人使用DV证书完全够了,浏览器表现为地址栏前会有绿色的小锁。

1.4 CA 证书的信任链

如果你安装并信任了一个CA 机构的证书,以他为根,同样也信任了由这个CA 机构颂发的其它组织的证书,其它组织则可以创建自己的CA中心,颂发下一级的证书,依次往下,一层层会有许多 CA 中心和数字证书。这个最上层的CA 证书,即可以称为根证书。

2. Let’s Encrypt项目简介

Let’s Encrypt是由互联网安全研究小组(ISRG)提供的服务,2015年4月9日宣布与Linux基金会合作。Let’s Encrypt项目计划是为网站提供永久免费的SSL证书,用于加速互联网从HTTP向HTTPS过度。同时,https/2也必须使用https,StartSSLWosign有免费DV证书,便宜的还有RapidComodo证书,其他证书价格一般较高。Let’s Encrypt证书签署快、免费、支持多域名,但是现阶段签署的证书只有三个月的有效期,需要通过自动化脚本续签。Let’s Encrypt 与 IdenTrust 的 DST Root CA 做了交叉认证,兼容所有主流的浏览器。在2015年12月,Let’s Encrypt项目已经开始公测。

SSL证书的意义不仅仅在于加密,更在于颁发机构提供的担保,也就是因CA机构的过失,造成经济损失时,会有一定额度的赔偿。对于廉价或者免费的证书,这种担保就没有太大意义,CA机构也不会提供担保。廉价和免费证书的意义在于对https的普及,避免ISP对http的劫持,对流量的加密。

3. 生成Let’s Encrypt证书

Let’s Encrypt 证书生成官方推荐 certbot 这套自动化工具来实现。在官网上有比较详细的教材,根据不同的操作系统适配生成环境。这里直接在GitHub上下载certbot,certbot是一个Python 脚本。

git clone https://github.com/certbot/certbot

cd certbot

在正式安装之前,需要关闭服务器,脚本会占用80和443端口。

./letsencrypt-auto certonly

脚本会自动生成环境

Creating virtual environment…

Installing Python packages…

Installation succeeded.

在 /etc/letsencrypt/ 目录下存放着证书和证书的配置

4. 服务器部署及自动化

在证书的存放目录下有四个文件:

privkey1.pem: 证书密钥
fullchain1.pem: 带证书链的域名证书
chain1.pem: The Let’s Encrypt 证书
cert1.pem: 域名证书

修改Nginx的配置文件nginx.conf中SSL相关的参数

ssl_certificate /etc/letsencrypt/live/XXX.com/fullchain1.pem;

ssl_certificate_key /etc/letsencrypt/live/XXX.com/privkey1.pem;

由于Let’s Encrypt有效期现阶段只有90天,我们可以配置一个自动化续签的脚本certrenew.h。

#!/bin/sh

# This script renews all the Let’s Encrypt certificates with a validity < 30 days

if ! /home/letsencrypt/letsencrypt-auto renew > /var/log/letsencrypt/renew.log 2>&1 ; then

echo Automated renewal failed:

cat /var/log/letsencrypt/renew.log

exit 1

fi

nginx -t && nginx -s reload

开启定时任务Cron

crontab -e

编辑任务内容

@daily /home/certrenew.sh

HTTPS网站安全性能测试:SSL Server Test