HTTPS保障数据传输安全
当前的互联网中信息数据交换通过过网络传输,早期的 HTTP 协议在传输数据时是明文的,即数据包流过的链路上都可以抓取数据,并查看数据内容,甚至是修改数据内容,这是不安全。
对数据在链路传输时进行加密,在日常访问网站域名地址时看到的 https://cncfstack.com 就是启动了 https,浏览器会提示“连接是安全的”。而且浏览器对于没有使用 https 的网站会提示安全风险,甚至直接限制用户访问。
网站使用 https 时,需要有一个 HTTPS/TLS 证书,这个证书是由证书颁发机构(即CA)基于CA证书签发的,而且CA厂商基于私钥KEY给自己签发CA证书会默认预置在各个操作系统和浏览器中。
CA 厂商维护的证书私钥 KEY 是最核心的资产,如果 CA 的 KEY 泄漏了,这个 CA 厂商的安全保护能力就会判断不足以提供安全保障,操作系统和浏览器维护者就会移除他们的CA证书,这个CA机构基本就算倒闭不远了,典型案例就是荷兰的DigiNota 。
收费CA机构如DigiCert、GlobalSign、Sectigo等。目前免费证书的CA厂商主要有 ZeroSSL 和 Let‘s Encrypt 。
HTTPS证书申请客户端工具选择
目前 ZeroSSL 和 Let‘s Encrypt 提供基于 ACME 的协议来进行证书的申请和签发,开发一款新的 ACME 协议的客户端并不是什么复杂的事情。但是,目前已经有许多客户端了,而且比较成熟了,一般情况下没有必要再重新开发新的客户端。
支持 ACME 协议的开源客户端有很多,不同的语言和平台有着许多工具,可以根据自己的需求选择 ACME 客户端:https://letsencrypt.website.cncfstack.com/zh-cn/docs/client-options/
本文使用 acme.sh 这个客户端工具,它可以同时支持 ZeroSSL 和 Let‘s Encrypt 的证书签发。在国内可以通过藏云阁源码仓库获取 https://gitea.cncfstack.com/acmesh-official/acme.sh
acme.sh 初次注册申请证书
步骤一:获取 acme.sh
获取 acme.sh 主要是下载该项目的代码仓库,该仓库中包含了 acme.sh 脚本以及相关的依赖配置。
可以通过在线下载 zip 包,或者 git clone 的方式获取该仓库
git clone 或 git clone https://gitea.cncfstack.com/acmesh-official/acme.sh
步骤二:安装 acme.sh
脚本安装会将相关工具安装到 ~/.acme.sh/ 目录中,后续生成的证书默认也会保存在该目录中。
普通用户和 root 用户都可以安装使用。
# 方式1: 通过仓库的脚本安装./acme.sh --install -m youremail@example.com# 方式2: 通过官网的域名安装curl https://get.acme.sh | sh -s email=youremail@example.com
安装过程还创建了一个 alias 别名和添加 crontab 计划任务。
创建一个 shell 的 alias,例如 .bashrc,方便你的使用:alias acme.sh=~/.acme.sh/acme.sh自动创建 cronjo b计划, 每天 0:00 点自动检测所有的证书,如果快过期了,需要更新,则会自动更新证书。
安装过程不会污染已有的系统任何功能和文件,所有的修改都限制在安装目录中: ~/.acme.sh/
步骤三:选择 CA
acme.sh 脚本默认 CA 服务器是 ZeroSSL,在使用 ZeroSSL 时需要通过邮箱注册一下账号。
注册 ZeroSSL 账号
acme.sh --register-account -m youremail@example.com
有时可能会导致获取证书的时候一直出现:Pending,The CA is processing your order,please just wait. 这是因为证书签发在高峰期,需要排队等待。或者把 CA 服务器改成 Let's Encrypt CA签发,如果依旧提示pending,可以多尝试几次
acme.sh --set-default-ca --server letsencrypt
步骤四:域名拥有权验证与证书签发
acme.sh 实现了 acme 协议支持的所有验证协议。一般有两种方式验证: HTTP 和 DNS 验证。 推荐使用 方案3: 自动DNS验证 的验证方式。
域名验证与证书的签发过程输入日志和下文“证书续签”章节示例输出内容类似。
方案1: 直接签发
直接签发 HTTP 验证的核心思路是在网站运行的服务器上,在网站的根目录中创建一个验证文件,通过域名+验证文件的方式进行请求判断来验证域名是否属于当前操作者。
验证完成后会删除该验证文件,对网站不会产生副作用。
acme.sh --issue \ -d yourdomain.com \ -d www.yourdomain.com \ --webroot /home/wwwroot/yourdomain.com/
方案2: 手动DNS 验证
如果你没有服务器,没有公网 IP,只需要 DNS 的解析记录也可完成验证。
这需要你手动在域名上添加一条 TXT 解析记录,验证域名所有权。
acme.sh --issue --dns \ -d example.com \ -d www.example.com \ -d cp.example.com
然后,acme.sh 会生成相应的解析记录显示出来,你只需要在你的域名管理面板中添加这条 TXT 记录即可。
等待解析完成之后,执行以下命令重新生成证书:
acme.sh --renew -d yourdomain.com
注意这里现在用的是 --renew 参数
方案3: 自动DNS验证
DNS 方式的真正便捷之处在于可以使用域名解析商提供的 API 自动添加 TXT 记录,且在完成验证后删除对应的记录。
acme.sh 目前支持超过一百家的 DNS API。支持的DNS厂商和配置KEY名称:https://github.com/acmesh-official/acme.sh/wiki/dnsapi
藏云阁 cncfstack.com 的域名托管在阿里云,这里使用阿里云的DNS解析服务。在阿里云RAM中创建一对 AKSK 密钥 https://ram.console.aliyun.com/users
然后将密钥保存在account.conf 文件中
cat ~/.acme.sh/account.conf Ali_Key="<key>" Ali_Secret="<secret>"
然后开始执行域名名验和申请
export TZ='Asia/Shanghai'./acme.sh --issue --dns dns_ali \-d example.com -d *.example.com
执行后就会自动执行域名的验证,证书的申请和签发
步骤五:复制证书
证书生成好以后,我们需要把证书复制给对应的 Apache、Nginx 或其他服务器去使用。
推荐使用 --install-cert 命令来把证书复制到目标文件,请勿直接使用 ~/.acme.sh/ 目录下的证书文件(由于证书需要部署到其他云场景,也可以直接复制使用),这里面的文件都是内部使用,而且目录结构将来可能会变化。
Apache 示例:
acme.sh --install-cert -d yourdoamin.com \ --cert-file /path/to/certfile/in/apache/cert.pem \ --key-file /path/to/keyfile/in/apache/key.pem \ --fullchain-file /path/to/fullchain/certfile/apache/fullchain.pem \ --reloadcmd "service apache2 force-reload"
Nginx 示例:
acme.sh --install-cert -d yourdoamin.com \ --key-file /path/to/keyfile/in/nginx/key.pem \ --fullchain-file /path/to/fullchain/nginx/cert.pem \ --reloadcmd "service nginx reload"
Nginx 的配置项 ssl_certificate 需要使用 /etc/nginx/ssl/fullchain.cer,而非 /etc/nginx/ssl/<domain>.cer,否则 SSL Labs 的测试会报证书链问题(Chain issues Incomplete)。
默认情况下,证书每 60 天更新一次(可自定义)。更新证书后,Apache 或者 Nginx 服务会通过 reloadcmd 传递的命令自动重载配置。
注意:reloadcmd 非常重要。证书会自动申请续签,但是如果没有正确的 reloadcmd 命令,证书可能无法被重新应用到 Apache 或者 Nginx,因为配置没有被重载。
查看已安装证书信息
可以通过 --info 选项查看证书信息
acme.sh --info -d yourdomain.com
会输出如下内容:
# acme.sh --info -d cncfstack.com [2025年 05月 12日 星期一 09:16:12 CST] The domain 'cncfstack.com' seems to already have an ECC cert, let's use it. DOMAIN_CONF=/root/.acme.sh/cncfstack.com_ecc/cncfstack.com.confLe_Domain=cncf stack.comLe_Alt=*.cncfstack.com Le_Webroot=dns_aliLe_PreHook= Le_PostHook= Le_RenewHook= Le_API=https://acme.zerossl.com/v2/DV90 Le_Keylength=ec-256 Le_OrderFinalize=https://acme.zerossl.com/v2/DV90/order/9oSoWas2pzOqCn2r4x6dYA/finalize Le_LinkOrder=https://acme.zerossl.com/v2/DV90/order/9oSoWas2pzOqCn2r4x6dYA Le_LinkCert=https://acme.zerossl.com/v2/DV90/cert/DY2_aoSL66MxOZngG80o2QLe_CertCreateTime=1746954785 Le_CertCreateTimeStr=2025-05-11T09:13:05Z Le_NextRenewTimeStr=2025-07-09T09:13:05ZLe_NextRenewTime=1752052385
续签证书
证书有效期为 90 天。 acme.sh 可以每 60 天自动更新,无需任何操作。
也可以强制续签证书:
acme.sh --renew -d yourdomain.com --force
例如藏云阁网站域名 cncfstack.com 的续签
证书文件说明:
cncfstack.com.cer:这就是签发的证书文件
cncfstack.com.key:证书对应的私钥文件,在服务器上配置https网站时需要
ca.cer:CA证书,cncfstack.com.cer基于该ca.cer签发的
fullchain.cer:证书链包含中间证书的签发过程,可用于检查证书的合法性
检查网站生效状态
在证书部署到网站后,可以通过浏览器查看证书是否生效
也可以查看证书的详细信息
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/11335.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
萌ICP备20248119号
