证书

<article class=“article fmt article-content”><h2>httpsok-v1.8.0 SSL证书主动续签就应该这么简略</h2><h3>简介</h3><p><strong>一行命令，一分钟轻松搞定SSL证书主动续期</strong></p><p><strong>httpsok</strong> 是一个便捷的 HTTPS 证书主动续签工具，专为 Nginx 服务器设计。已服务泛滥中小企业，<strong>稳固</strong>、<strong>平安</strong>、<strong>牢靠</strong>。</p><h3>文档</h3><ul><li>帮忙文档：https://fposter.cn/doc/</li></ul><h3>个性</h3><ul><li><strong>⚡️ 简略高效</strong> 一行命令，一分钟轻松搞定SSL证书主动续签</li><li><strong>✅ 无侵入</strong> 不会批改零碎现有的 <code>nginx</code> 配置</li><li><strong>✅ 自动检测</strong> 对于<strong>老旧零碎</strong>、<strong>简单配置</strong>的生产环境，轻松检测，无缝反对</li><li><strong>✅ 多服务器</strong> 反对多台服务器多个域名</li><li><strong>✅ 泛解析、多级域名</strong> 域名泛解析、多级域名也不在话下</li><li><strong>✅ 证书监控</strong> 对于行将生效的证书，提供公众号推送揭示</li><li><strong>✅ 兼容性好</strong> 可能兼容支流的Linux零碎，<code>CentOS</code> <code>TencentOS</code></li><li><strong>✅ 适配面板</strong> 适配支流的Linux操作面板，如<code>宝塔</code>、<code>AMH</code>、<code>cPanel</code>等</li></ul><p>别看新个性了， <strong>快来试试吧</strong></p><h2>疾速开始</h2><p>忘掉繁琐的证书续签操作，让证书续签回归应有的简略。</p><h3>装置httpsok</h3><pre><code class=“bash”>curl -s https://fposter.cn/httpsok.sh | bash -s ‘your token’</code></pre><blockquote>登陆控制台 获取token</blockquote><p>装置胜利后，会自动检测一次零碎中的<code>nginx</code>证书。</p><pre><code class=“bash”>2024-03-04 04:54:23 os-name: TencentOS Server 2.42024-03-04 04:54:23 version: nginx/1.20.12024-03-04 04:54:23 nginx-config: /etc/nginx/nginx.conf2024-03-04 04:54:23 nginx-config-home: /etc/nginxHttpsok make SSL easy. https://fposter.cn/ version: 1.8.0TraceID: 92592593890e8a442be7f50c7ddc5d2dhome: /root/.httpsok2024-03-04 04:54:24 DNS check pass2024-03-04 04:54:24 71e1bbd5f2e5415e /etc/nginx/certs/api.fastposter.net_nginx/api.fastposter.net_bundle.crt Cert valid2024-03-04 04:54:24 ee262ecba47d4173 /etc/nginx/certs/fposter.cn_nginx/fposter.cn_bundle.crt Cert valid2024-03-04 04:54:24 Nginx reload needless.</code></pre><h3>DNS解析配置</h3><p>呈现如下提醒</p><p>请添对应的DNS-CNAME解析记录 参考DNS解析配置，<strong>只需配置一次即可</strong>。</p><p><strong>增加胜利后请稍等1分钟左右</strong>（DNS失效须要一小会儿），再次运行装置脚本即可。</p><pre><code class=“bash”>DNS-CNAME解析有效 参考：https://fposter.cn/doc/guide/dns.html请添以下DNS-CNAME解析记录（只需配置一次即可）: _acme-challenge.yourdomain.com >> 043a438043a438d40c.httpsok.com</code></pre><h3>实现</h3><p>没错，曾经完结了，<strong>SSL证书主动续签就应该这么简略</strong>。</p></article> ...

作者：vivo 互联网运维团队- Peng Jiahong本文介绍了vivo业务运维证书治理从手工到平台化的历程。 一、背景以往，vivo 互联网业务的域名证书运维管理工作，重大依赖经验丰富的高级运维工程师集体专职治理，证书治理存在单点以及过于依赖的人的状况。 随着业务规模的继续扩充，以及对证书治理质量标准的要求晋升，增强全网证书信息精确的收敛把控。 为此，业务运维团队决定，通过证书治理流程标准化、平台化，实现全生命周期治理证书，来打消因依赖人为治理证书问题导致业务可用性受损的痛点。 二、能力布局全生命周期治理业务证书，咱们建设的平台需具备以下个性和能力： 高效的证书申请：新申请以及续期场景，平台疏导用户主动的生成私钥和 CSR 并提交工作申请联系单，用户实现验证后主动存储证书合并私钥。 便捷的证书治理：反对多种证书格局导入、导出性能，查看残缺的证书信息。 平安的私钥存储：应用 AES256 等 高强度算法加密存储。 证书逾期监控：反对 30/60 天,可自定义逾期的证书监控告警。 证书变更白屏化：笼罩 NGINX、 SLB、CDN 以及 VUA 证书变更场景。 三、设计思路3.1 技术选型（1）前端框架： 用基于Vue2的Element构建根底页面 （2）后端框架： 以 Go 语言为根底，疾速利用gin框架提供restful的api，业务数据存储在MySQL 3.2 架构设计证书治理平台整体架构设计： 3.3 模块设计证书治理平台蕴含四个十分重要的子模块： 可视：是整个平台最根底的模块，除根底的权限性能外，通过收敛汇总所以证书信息，实现证书总览数据分析，证书的操作的追溯以及变更审计和操作可视化。 治理：是证书信息管理的外围性能之一，实现证书信息的可视化以及信息变更、证书申请、证书续期的能力。 变更：提供 NGINX、SLB、CDN、VUA 证书的推送能力。 监控：提供证书的生命周期检测、有效期揭示、线上证书扫描的能力。 四、技术实现4.1 前端前端是基于Vue2和Element来组建用户的操作界面，整个具体的设计图如下： 其中： main.j蕴含整个业务零碎落地所须要的各类组件和元素，实现组件 的提供以及根底的权限校验；api的办法通过正当的封装后端的接口，提供view中出现给用户的界面调用办法，来实现整个证书治理的业务流程操作。在整个证书治理平台的迭代过程中，只需重点关注view中vcm前缀用户界面的代码实现即可。 4.2 后端后端应用Go语言来编写业务逻辑和API接口。其中架构能够参考3.2设计图，治理平台外围逻辑通过代码片段展现如下： （1）基于casbin实现的权限治理：通过角色管制权限，并按需赋予用户角色默认拜访权限（如下图创立角色时AddMenuAuthority、UpdateCasbin办法）。 （2）证书相干数据加密解决：获取前端用户抉择的相干算法进行加密。 （3）基于证书治理标准化流程的业务代码实现，笼罩证书的信息管理&变更推送&监控告警&平台的角色权限管制。 五、平台预览通过多个开发迭代，平台相干的外围性能如下： 5.1 证书信息概览概览首页收敛证书治理的性能入口，以及收纳治理证书的全貌，不便管理员理解所治理的证书状态和最近的申请进度。 5.2 证书信息管理汇总了目前外销所有证书信息，后续平台上申请的证书信息管理也会收敛于此，并提供证书私钥相干的查看和下载。  5.3 证书申请/续期通过平台场景化证书申请续期的操作，解决过往碎片化操作以及无教训人员需通过文档浏览或者人员领导实现证书申请问题。 5.4 证书变更治理平台笼罩云上、NGINX 集群、CDN 以及 VUA 的证书白屏化、可追溯操作历史更新能力。 ...

前言：中国的信息安全产业正蓬勃发展，平安人才队伍正一直壮大，信息安全相干人员对于集体职业倒退、能力晋升有诸多关注。3分钟为你揭秘“信息安全底细”！ 网络安全是个“多金而有前途”的行业依据中国信息安全从业人员现状考察显示，我国信息安全从业人员均匀年薪为15.3万元。这个数字岂但高于国家统计局公布的2018年信息技术相干行业待业人员年平均工资14.2万元，更是远远高于社会各行业平均工资。信息安全从业人员薪资和从业年限呈正相关系。也就是说从事信息安全行业，不必放心职场年龄歧视，而且能“越老越值钱”。 如果你是信息安全从业人员，那么祝贺你，你抉择的行业岂但高薪而且又能长期从事，是当之无愧的“最佳职业抉择之一”。如果你还没有进入信息安全行业，那么强烈建议你立即入行！ 虽有压力但职业前景乐观信息安全从业人员从事平安工作最次要的首要起因是看好职业发展前景。42.9%的信息安全从业人员示意，工作压力比拟大，然而对职业发展前景多持乐观态度。 这是一个十分奇怪的景象：一方面大家工作压力较大，另一方面却又不谋而合的认为信息安全是个职业发展前景十分好的行业。这是为什么呢？在中国，信息安全相对来说是个比拟新的行业，而且行业倒退十分迅速，技术疾速更新迭代，从业人员必须时刻更新常识、放弃一直学习能力不被疾速倒退的行业所摈弃。 职业培训受到从业人员高度重视当下，信息安全从业人员对于晋升本人的平安技能，70%左右的人抉择职业培训，少部分人员抉择自我学习。信息安全人才队伍能力构造同经济社会倒退和国家平安需要仍存在较大差距。也就是说：如果你抉择了信息安全这个多金又有职业前景的行业，职业培训必将成为你必然的抉择。 人才全方位短缺，用人单位看重证书目前我国信息安全从业人员整体出现全方位短缺的态势，信息安全人员规模总量有余，大量信息安全工作以“非专职”形式实现，各类平安工作角色均存在人才缺口。信息安全资质成为用人单位提拔人才的重要指标……用人单位最看重人才的信息安全业余持有状况。其中，国企、科研院所、党政机关事业单位、外商投资企业和港澳台投资企业的受访者对于信息安全业余的认可度最高。 如果你想从事信息安全行业，而且还想进入心仪的好单位好公司，你必须拿到信息安全相干的权威认证证书！ 信息安全从业人员必备哪些证书？1. CISP （国家注册信息安全业余人员） CISP平安从业者基本上都有所耳闻，国内权威认证，政府背景给认证做背书，如果想在政府、国企及重点行业从业，企业获取信息安全服务资质，参加网络安全我的项目，这个认证都是十分重要的。CISP在你参加考试的时候，培训机构都会问你是抉择CISO/CISE，不要放心，这两个只是考试方向，证书都是测评核心颁发。 2.CISSP （国内注册信息安全专家） CISSP认证在平安行业领有较高知名度，发证机构是ISC。大家公认比拟难考的一个证书，含金量高、覆盖面广、知识点很多，如果没有相干平安的工作教训，上来就间接温习，是会很烧脑的。另一个是认证方面，即便考试通过当前，想要拿到证书，须要申请人在八个域中至多2个域方面有五年相干工作教训，这个门槛就有点高。然而如果工作经验不足，也是能够参加考试，通过维持问题的办法，到工作教训足够再去申请认证。 3.CISA（国内注册信息系统审计师） CISA的发证机构是ISACA，这个机构还有CISM、CRISC、COBIT5.0等认证。先说CISA，这个目前在国内曾经有很大影响了，在校生都曾经开始意识到它对本人找工作的重要性；另一方面，当初大家能够看看四大征询、金融证券行业、it审计岗或者是信息科技部门的员工，包含传统审计师对于CISA的青眼。 CISA跟CISSP一样，同样须要5年的工作教训，其中至多2年审计／管制畛域的工作教训，工作教训绝对CISSP有一些宽松，学历抵扣教训最多能够抵3年，而且问题有效期是5年，所以能够先参加考试，后申请证书。 4. CISP-PTE （国家注册浸透测试工程师） CISP-PTE认证是2017年奇安信联结中国信息安全测评核心推出的国内首个浸透测试认证，国家信息安全测评核心颁发证书，具备申请平安服务资质。该认证有个很大的特点，就是考试为实际操作，考验大家浸透技能的机会来了。 5. CISP-PTS（国家注册浸透测试专家） CISP-PTS浸透测试专家认证，2018年底正式推出，谷安是国内首家发展CISP-PTS的机构，其含金量和难度高于CISP-PTE。CISP-PTS除了要有CISP-PTE所要求的全副常识与能力以外，在内网平安、数据库安全、中间件平安方面提出了全新的要求；更加重视造就学习者渗在透测试畛域所把握的常识的宽泛度（如更多类型的数据库、中间件所波及的平安问题）、更加强调测验学习者对以后支流浸透测试技术的把握深刻水平和施行过程重点业余水平、熟练程度。在认证考试方面，CISP-PTS勾销了抉择题型，所有考题均为实际操作题目。CISP-PTS是目前国家级攻防浸透测试畛域最高等级认证。 6.CISM（国内注册信息安全经理） CISM的发证机构是ISACA，跟CISA是同一个发证机构。这个认证绝对CISSP来说并驾齐驱，难度甚至高于CISSP。CISM不同于其余的信息安全认证，在于它的教训要求以及集中在信息安全经理人工作上的执行。其余信息安全认证重点在于特定的技术、作业平台或是产品信息。或是针对信息安全工作的前几年工作。唯有CISM是针对信息安全经理人，重点曾经不再是个别的技术或者是技能，而是移转到整个企业的信息安全治理。CISM是针对治理并且监督企业的信息安全的集体，许多人可能在其余畛域都曾经持有相干的认证。就因为集中在治理上的须要，以至工作教训绝对有其重要性，所以CISM要求起码要有5年信息安全治理的教训，而考试的内容也都集中在信息安全经理人日常解决的工作上。 7.Security+（信息安全技术专家） Security+是美国计算机协会CompTIA颁发的证书。这个认证次要偏差信息安全技术，学习内容绝对较浅，适宜刚毕业或者是从业教训少，须要转行做信息安全的人员。这对于想要入门平安行业是一个很好的敲门砖，尤其是外资企业对这个认证认可度。比拟吸引人的是，对于参加考试的人员没有工作教训以及学历的要求，这对很多平安爱好者来说是很大的一个学习能源. 8.ISO27001 Foundation认证 ISO27001 Foundation是由APMG机构颁发的认证，作为信息安全治理方面最驰名的国际标准—ISO/IEC 27001(简称ISMS)，能够领导咱们事实工作。ISO 27001Foundation是为了造就并进步信息安全管理体系（ISO 27001）建设者所开设的课程，更重视信息安全管理体系的施行、保护与优化方面。 9.CCSK (云平安认证) CCSK由云平安联盟（CSA）颁发认证。2011年国内云平安联盟正式推出了“云计算平安常识认证（CCSK）”，通过5年的倒退，CCSK曾经成为云平安人才畛域最权威的认证之一。国内来说，对云服务商或者是安服公司员工在做云平安我的项目时，这个认证首先能够让大家对云平安有个初步的理解，并且给我的项目带来必要的反对。 10. DevOps Master（业内顶级利用实战认证） DevOps Master 课程是EXIN DevOps系列认证课程中的最⾼级别。EXIN DevOps Master是一种⾼级认证，它将准则、常识和实际技能联合在了⼀起。这使他们可能在组织中引入和促成DevOps， 以便更好地管理应用程序和服务生命周期，同时促成合作团队合作。同时装备《凤凰我的项目》沙盘实战演练。 DevOps次要与软件开发相干，然而它的准则越来越多地利用到了所有其它过程中。这使得DevOps Master认证对于那些心愿扩大常识体系，以及笼罩IT治理理的最新倒退模式的IT业余人⼠来说十分有吸引力。应⽤程序开发⼈ 员、产品负责⼈、敏 捷Scrum治理理员、项⽬目经理理、测试经理理和IT服务经理理都将从这个认证中受害。 11.Prince2 （受控环境下的项目管理） ...

在上周六6月29日，对许多人而言也许只是一个平凡的周末，而对一群人来说这是非常特殊的一天，他们清早启程，怀揣共同的理想，用科技武装自己，准备着人生职业路上一场重要的知识战争。 来自全国23所不同城市的考生们，坚守着数据的信仰，为了一个共同的理想，走进了CDA考场。第十届CDA数据分析师认证考试在这一天顺利进行，圆满结束了！ 本次考试科目一共四科，LEVEL 1业务数据分析师，LEVEL 2建模分析师，LEVEL 2大数据分析师，LEVEL 3数据科学家。考试中监考老师按照考试须知严格监考，学员遵守考场规则，顺利完成了本次CDA数据分析师全国统考。 考场大门，迎接考生入场 考生通过严格的审核流程入场 考试紧张进行中 有人欢喜有人愁，本届考试中有的考生信心十足，答题高效，提早交卷。有的考生迟到超时或遗忘证件，未能顺利参加考试。无论结果如何，我们为通过的考生祝贺，对未通过的考生鼓励。 本届CDA数据分析师认证考试顺利落幕。考试通过者将获得由经管之家颁发的CDA数据分析师认证证书，并获得CDA Institute的认可。 预告 本届考试的通过率及各等级状元考生的经验分享。精彩不容错过！顺便告知各位伙伴，2019年12月28-29日CDA第十一届考试报名火热进行中！ CDA认证报名通道：https://exam.cda.cn/?seo-segm...

[SSL证书转换(一)]关于JKS 转换成 CRT 和 KEY之前遇到个问题，客户做小程序系统，而小程序前后端交互需要https协议，因此就需要在后端nginx前置服务器配置SSL证书。而客户给的SSL证书，是Java版的jks证书；且客户提供的配置好基本环境的nginx，所需要的证书是crt和key组合形式，因此需要进行证书转换。在证书转换和证书配置过程中，以及后续的实际生产部署的过程中，也遇到了各种坑。[强烈建议，有钱的用户，或者省事的用户，使用云服务器，不要自建服务器，这样可以有免费的ssl证书，可以很简单的配置] 现在简单记录下配置的步骤：拿到jks证书，和证书密码(确认没有密码的，拿刀找你们运维去，或找供应方去)先将jks 转换成p12格式，具体命令如下:keytool -importkeystore -srckeystore C:\cert\server.jks -destkeystore C:\cert\server.p12 -srcstoretype jks -deststoretype pkcs12输入命令后，会提示你三步骤，需要输入口令(建议输入相同的口令，就是你的jks口令，防止后续证书转换忘记密码) 1).输入目标密钥库口令: 2).再次输入新口令: 3).输入源密钥库口令: 接下来就会提示你如下： 已成功导入别名 ca_root 的条目 已完成导入命令: 1 个条目成功导入, 0 个条目失败或取消 到了这一步，说明已经OK了，剩下的就是转换成crt证书和key了 3.将p12转换成crt证书, 命令如下： openssl pkcs12 -in C:\cert\server.p12 -nokeys -clcerts -out C:\cert\server.crt4.将p12生成非加密的key, 命令如下：openssl pkcs12 -in C:\cert\server.p12 -nocerts -nodes -out C:\cert\server.key5.将证书配置到nginx以后，重启nginx服务器 6.使用ssl漏洞扫描工具，检验证书链的完整性，并获取证书链(<font color=red>防止小程序报: fail ssl hand shake error</font>)，推荐地址https://myssl.com/chain_download.html 7.拷贝证书链以后，将服务器上server.crt内容替换，重启nginx(或nginx -s reload) 8.如果还不行，(比如：网页访问，依然不安全) 请清空缓存，刷新 ps : 至于以上的命令，比如: keytool、openssl哪里来？你问我？问我为什么不安装下呢？百度啊！

作者：Andrew Harding你好！这是来自Scytale的Andrew Harding。如果你目前正在使用Envoy提供安全的服务到服务通信，我想向你展示如何利用开源SPIRE项目，通过基于多个因子工作负载认证，自动交付和轮换密钥和证书来显着提高你的身份验证安全性。Envoy和SPIRE已经存在了一段时间，但我们最近才在SPIRE中增加了对Envoy SDS API的支持，这使得设置起来更加容易。我们来探讨一下。背景Envoy是一个流行的开源服务代理，除其他外，广泛用于在服务之间提供抽象、安全、经过身份验证和加密的通信。Envoy享有丰富的配置系统，允许灵活的第三方交互。该配置系统的一个组件是秘密发现服务协议或SDS（Secret Discovery Service）。Envoy使用SDS从SDS供应商处检索并维护更新的“秘密”。在身份验证的意思来说，这些秘密是Envoy用于在服务之间提供安全TLS通信的TLS证书、私钥和可信CA证书。短暂的秘密是安全的一个重要方面，因为它们减少了对撤销列表基础设施的需求，这削弱了安全性并导致攻击面增加。旋转短寿命秘密经常涉及手动审计和部署，并且通常对操作员来说非常麻烦。SDS供应商向Envoy提供更新秘密的能力，是简化秘密管理和为Envoy提供最新服务标识的有用步骤。SPIRE（SPIFFE运行时环境）是一个工具链，用于在各种平台上建立软件系统之间的信任。SPIRE支持容器化和弹性扩展环境，例如Kubernetes、托管基础架构如Azure、AWS和GCP，以及内部裸机部署。这些环境中的服务可以利用SPIRE以X.509证书（X509-SVID）的形式，获取具有关联私钥的服务标识，以及服务可用于验证其他身份的一组可信CA证书。当服务与SPIRE接合时，它会经历一个称为证明（attestation）的过程，其中SPIRE宣称（assert）有关服务及其环境的特征。这些宣称与运营商定义的政策相匹配，以决定应该为服务提供哪个服务标识。（有关证明的更多详细信息，请参阅此视频。）SPIRE根据运营商定义的政策自动轮换服务的X.509证书和密钥。换句话说，Envoy可以通过SDS动态消费服务标识，SPIRE可以动态提供服务标识。听起来很棒！这个怎样运作当Envoy连接到SDS服务器时，SPIRE代理会证明Envoy并确定它应该通过SDS向Envoy提供哪些服务身份和CA证书。随着服务标识和CA证书的轮换，更新将流式传输回Envoy，Envoy可立即将它们应用于新连接，而不会中断或停机，也无需私钥触及磁盘。换句话说，SPIRE丰富的定义和证明服务的方法可用于定位Envoy流程，为其定义身份，并为其提供Xv09证书和Envoy可用于TLS通信的信任信息。在两个服务之间的两个Envoy代理，使用SPIRE代理作为SDS的实现，以获取相互认证的TLS通信的秘密配置SPIRE在SPIRE中设置SDS支持就像在SPIRE代理配置中设置enable_sds = true配置值一样简单。配置EnvoySPIRE代理群集必须将Envoy配置为与SPIRE代理通信，通过配置集群指向SPIRE代理提供的Unix域套接字（domain socket）。例如：clusters: - name: spire_agent connect_timeout: 0.25s http2_protocol_options: {} hosts: - pipe: path: /tmp/agent.sockconnect_timeout会影响Envoy在启动Envoy时SPIRE代理未运行或者如果重启SPIRE代理时能够响应的速度。TLS证书要从SPIRE获取TLS证书和私钥，你可以在TLS上下文中设置SDS配置。例如：tls_context: common_tls_context: tls_certificate_sds_secret_configs: - name: “spiffe://example.org/backend” sds_config: api_config_source: api_type: GRPC grpc_services: envoy_grpc: cluster_name: spire_agentTLS证书的名称是Envoy充当代理服务的SPIFFE ID。验证上下文（Validation Context）Envoy使用可信CA证书来验证对等证书。验证上下文提供这些可信CA证书。SPIRE可以为每个信任域提供验证上下文。要获取信任域的验证上下文，可以在TLS上下文的SDS配置中配置验证上下文，将验证上下文的名称设置为信任域的SPIFFE ID。例如：tls_context: common_tls_context: validation_context_sds_secret_config: name: “spiffe://example.org” sds_config: api_config_source: api_type: GRPC grpc_services: envoy_grpc: cluster_name: spire_agentSPIFFE和SPIRE专注于促进安全认证作为授权的构建块，而不是授权本身，因此对验证上下文中的授权相关字段（例如verify_subject_alt_name）的支持超出范围。相反，我们建议你利用Envoy广泛的过滤器框架来执行授权。此外，你可以将Envoy配置为将客户端证书详细信息转发到目标服务，从而允许它执行自己的授权步骤，例如使用嵌入在客户端X.509 SVID的URI SAN中的SPIFFE ID。试试看！这就是你使用SPIRE改善服务到服务通信中的身份验证安全性的方法！尝试一下，让我们知道你的试用是怎么回事！你可以通过SPIFFE slack与我们联系。计划进行未来的改进，你的经验对于塑造SPIRE对Envoy的支持非常有价值。我要感谢Scytale公司自己的Marcos Yacob和Marcos Yedro，他们的努力有助于SPIRE SDS实施的原型设计和开发。KubeCon + CloudNativeCon和Open Source Summit大会日期：会议日程通告日期：2019 年 4 月 10 日会议活动举办日期：2019 年 6 月 24 至 26 日KubeCon + CloudNativeCon和Open Source Summit赞助方案KubeCon + CloudNativeCon和Open Source Summit多元化奖学金现正接受申请KubeCon + CloudNativeCon和Open Source Summit即将首次合体落地中国KubeCon + CloudNativeCon和Open Source Summit购票窗口，立即购票！ ...

前言一直想撸一下https，最近刚好有点空，就实现了一下。之前看过一篇教你快速撸一个免费HTTPS证书的文章，通过Certbot来管理Let’s Encrypt的证书，使用前需要安装一堆库，觉得不太友好。所谓条条大路通罗马，肯定还有其他方法可以做这个事情。经过一番研究，发现了 acme.sh 这个库，这个是用Shell脚本编写的，不需要安装其他东西，比较纯净，觉得比较适合自己，记录一下过程。准备工作一个已解析好的域名（可以用http来访问）。开启服务器的443端口防火墙。步骤一、安装acme.shcurl https://get.acme.sh | sh这个命令后会将acme.sh安装到~/.acme.sh/目录下重新载入~/.bashrcsource ~/.bashrc 二、生成证书acme.sh –issue -d www.your-domin.com –webroot /srv/your-domin.com/这个命令的意思是用http方式将www.your-domin.com生成一个证书，/srv/your-domin.com/是你的网站根目录。（这个过程中acme.sh 会全自动的生成验证文件, 并放到网站的根目录, 然后自动完成验证. 最后又自动删除验证文件.）三、安装或copy证书到nginx目录默认生成的证书都放在安装目录下: ~/.acme.sh/，这个目录一般来说不能让nginx或Apache直接使用。所以我们需要将证书放到一个指定的目录，习惯是放在/etc/nginx/ssl/目录下。acme提供了–installcert来安装证书，只需指定目标位置, 然后证书文件会被copy到相应的位置。先确保存在/etc/nginx/ssl/目录mkdir /etc/nginx/sslcopy证书并指定nginx reload命令acme.sh –installcert -d www.your-domin.com \ –key-file /etc/nginx/ssl/www.your-domin.com.key \ –fullchain-file /etc/nginx/ssl/fullchain.cer \ –reloadcmd “service nginx force-reload"service nginx force-reload是为了在让acme自动更新时候能够重启nginx使得证书生效。执行完命令可以在/etc/nginx/ssl/看到多了www.your-domin.com.key和www.your-domin.com.cer的文件。四、生成 dhparam.pem 文件openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048这一步不是必须，但最好加上，后面配置好后会通过ssllabs.com 来验证一下，如果这一步ssl_dhparam 未配置，将导致 ssllabs.com 的评分降到 B。A+是最好。五、配置nginx证书已安装完毕，接下来就是让nginx来使用这个证书了。由于我这个服务器有几个站点，而目前只是一个站点配置了证书，因此只修改当前站点的conf即可server { listen 80; server_name www.your-domin.com; listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; ssl_certificate /etc/nginx/ssl/www.your-domin.com.cer; ssl_certificate_key /etc/nginx/ssl/www.your-domin.com.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_dhparam /etc/nginx/ssl/dhparam.pem; …}ssl_prefer_server_ciphers on; 这个配置能提高证书的评分。ssl_dhparam /etc/nginx/ssl/dhparam.pem; 能提高证书评分，这个文件是在第四步时生成的，若没有做则不需要写这句。nginx -t验证一下nginx配置是否正确，然后systemctl restart nginx重启一下nginx，就可以用https://www.your-domin.com测…。六、证书更新Let’s Encrypt 的证书有效期是 90 天的，需要定期重新申请，不过acme在安装的时候就已经设置了自动更新，所以这一步不用关心，很省心。这里了解一下acme.sh的自动更新：安装acme时会自动为你创建 cronjob, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书.查看任务# crontab -l47 0 * * * “/root/.acme.sh”/acme.sh –cron –home “/root/.acme.sh” > /dev/null手动renew一下证书可以通过这个命令acme.sh –cron -f七、设置软件自动更新目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.所以为了省心省力，最好还是设置一下软件的自动更新，执行下面的命令就可以了。acme.sh –upgrade –auto-upgrade其他在这个网站可以验证一下你的证书级别，根据我上面的配置可以评级为A。https://www.ssllabs.com/sslte…参考文章acme.sh说明使用 acme.sh 给 Nginx 安装 Let’ s Encrypt 提供的免费 SSL 证书让你的网站免费开启Https访问，绿色健康小清新 ...