正文

想增加網(wǎng)站安全性，購買商業(yè)版本的SSL證書又太貴？

本篇文章手把手教你使用let's encrypt申請免費(fèi)的SSL證書。

本文所依賴的環(huán)境為:

前置條件

若你想使用let's encrypt申請免費(fèi)的SSL證書，必須要滿足以下幾點(diǎn):

必須有一個域名。

必須有一臺擁有公網(wǎng)IP的服務(wù)器。

在創(chuàng)建證書的過程中，需要證明你對該域名的所有權(quán)，所以需要一個域名，而擁有一臺有公網(wǎng)IP的服務(wù)器則是需要運(yùn)行certbot客戶端工具來協(xié)助生成證書，在此過程中，需要用到外網(wǎng)。

安裝客戶端工具certbot

let's encrypt無需注冊登錄，也能生成SSL證書，需要用到客戶端工具為certbot，該工具是使用python來寫的，在centos 7系統(tǒng)下，該工具安裝如下:

安裝python3和pip3

yum install python3 python3-devel

升級pip3，版本要大于20

pip3 install "pip>=20"

安裝必要依賴

pip3 install setuptools-rust

setuptools-rust是python為rust擴(kuò)展所開發(fā)的插件，目的為用 rust 編寫的 python 擴(kuò)展就像用 C 編寫一樣容易。

安裝certbot

pip3 install certbot

檢驗客戶端

使用certbot --version 可以校驗安裝是否正常，例如:

如果正常輸出了版本，就證明安裝完畢。

若直接安裝網(wǎng)絡(luò)太卡的話，可以考慮加一個源信息，例如: 升級pip使用清華源命令為:

pip3 install "pip>=20" -i https://pypi.tuna.tsinghua.edu.cn/simple

設(shè)置域名解析

若想使用let's encrypt簽發(fā)證書，就必須將涉及的域名，先解析到服務(wù)器才行。

例如我們將預(yù)申請SSL證書域名 和 服務(wù)器IP地址的信息整理如下:

我們在申請證書之前，就必須將該域名pdudo.***.com的A記錄解析到1.*.*.4才行。

在申請SSL證書的時候，我們需要在1.*.*.4服務(wù)器上操作certbot才行。

申請SSL證書

在安裝客戶端工具和設(shè)置域名解析后，我們就可以來申請SSL證書了，但是在申請前，需要先保證我們服務(wù)器1.*.*.4的80端口沒有被占用，且外網(wǎng)防火墻也是開放的。這樣做的目的是let's encrypt來訪問我們的服務(wù)器進(jìn)行校驗和下發(fā)證書。

做完上述操作后，執(zhí)行下列命令，來申請SSL證書:

certbot certonly --standalone -d pdudo.***.com

上述命令的意思是，啟動獨(dú)立的web服務(wù)進(jìn)行身份驗證，為pdudo.***.com申請/續(xù)訂SSL證書，但是不需要安裝。

在此過程中，會彈出很多的選項，讓我們輸入,大概流程為:

• 會讓我們輸入郵件地址，將用于續(xù)訂和安全通知。
• 會讓我們確定是否向ACME server注冊。
• 是否分享你的郵件讓EFF共享。

如果申請成功后，會在/etc/letsencrypt/live/下，以域名為目錄，里面存儲的證書信息，并且會告知過期時間是多久。

運(yùn)行截圖:

總結(jié)

本篇文章，我們使用let's encrypt為網(wǎng)站申請免費(fèi)的證書，無需登錄、注冊，簡單使用命令，幾分鐘內(nèi)就可以生成證書了，超級簡單吧，快來試試吧。注意，let's encrypt申請的證書，有效期只有3個月，所以，使用該方法生成的證書，每2個月幾乎就要停止web后更新一下證書才行。

以上就是使用let's encrypt申請免費(fèi)的SSL證書的詳細(xì)內(nèi)容，更多關(guān)于let's encrypt申請免費(fèi)SSL證書的資料請關(guān)注腳本之家其它相關(guān)文章！