做网站建设的合同范本wordpress 文章 相册

做网站建设的合同范本,wordpress 文章 相册,哪个网站做布料好,建湖人才网最新招聘本文详解如何使用Let’s Encrypt获取免费SSL证书#xff0c;配置Nginx/Apache实现HTTPS#xff0c;以及自动续期方案。前言 2024年了#xff0c;网站还不上HTTPS#xff1f; 浏览器会标记为不安全SEO排名受影响无法使用HTTP/2、HTTP/3用户数据传输有风险 以前S…本文详解如何使用Let’s Encrypt获取免费SSL证书配置Nginx/Apache实现HTTPS以及自动续期方案。前言2024年了网站还不上HTTPS浏览器会标记为不安全SEO排名受影响无法使用HTTP/2、HTTP/3用户数据传输有风险以前SSL证书很贵现在有了Let’s Encrypt完全免费自动续期没有理由不用。一、Let’s Encrypt简介1.1 什么是Let’s EncryptLet’s Encrypt是一个免费、自动化、开放的证书颁发机构CA由非营利组织ISRG运营。特点完全免费自动化颁发和续期被所有主流浏览器信任单域名/泛域名都支持1.2 证书类型类型说明验证方式单域名只对一个域名有效HTTP/DNS多域名(SAN)多个域名共用一个证书HTTP/DNS泛域名*.example.com仅DNS1.3 验证方式HTTP-01验证在网站目录放置特定文件Let’s Encrypt访问验证需要80端口可访问DNS-01验证添加特定的DNS TXT记录Let’s Encrypt查询验证适合泛域名、无法开放80端口的场景二、Certbot安装与使用2.1 安装Certbot# Ubuntu/Debianaptupdateaptinstallcertbot# CentOS/RHELyuminstallepel-release yuminstallcertbot# 或使用snap推荐版本更新snapinstall--classic certbotln-s /snap/bin/certbot /usr/bin/certbot2.2 获取证书HTTP验证独立模式没有Web服务器时# 需要80端口空闲certbot certonly --standalone -d example.com -d www.example.comWebroot模式已有Web服务器# 指定网站根目录certbot certonly --webroot -w /var/www/html -d example.com -d www.example.comNginx插件模式自动配置# 安装插件aptinstallpython3-certbot-nginx# 自动获取证书并配置Nginxcertbot --nginx -d example.com -d www.example.com2.3 获取证书DNS验证# 泛域名证书certbot certonly --manual --preferred-challenges dns -d*.example.com-d example.com执行后会提示添加DNS TXT记录Please deploy a DNS TXT record under the name: _acme-challenge.example.com with the following value: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx添加记录后等待DNS生效然后继续。2.4 证书文件说明证书存放在/etc/letsencrypt/live/example.com/文件说明用途cert.pem域名证书-chain.pem中间证书链-fullchain.pem完整证书链Nginx ssl_certificateprivkey.pem私钥Nginx ssl_certificate_key三、Nginx HTTPS配置3.1 基础配置server { listen 80; server_name example.com www.example.com; # HTTP重定向到HTTPS return 301 https://$server_name$request_uri; } server { listen 443 ssl http2; server_name example.com www.example.com; # SSL证书 ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # SSL配置 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; ssl_prefer_server_ciphers on; # HSTS可选强制HTTPS add_header Strict-Transport-Security max-age31536000 always; root /var/www/html; index index.html; location / { try_files $uri $uri/ 404; } }3.2 安全加固配置# /etc/nginx/conf.d/ssl.conf # SSL会话缓存 ssl_session_cache shared:SSL:10m; ssl_session_timeout 1d; ssl_session_tickets off; # 现代加密套件 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; # OCSP Stapling ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; resolver 8.8.8.8 8.8.4.4 valid300s; resolver_timeout 5s; # DH参数可选增强安全性 # openssl dhparam -out /etc/nginx/dhparam.pem 2048 # ssl_dhparam /etc/nginx/dhparam.pem;3.3 测试配置# 测试Nginx配置nginx -t# 重载配置nginx -s reload# 测试SSLcurl-I https://example.com四、自动续期配置4.1 证书有效期Let’s Encrypt证书有效期是90天建议提前30天续期。4.2 手动续期# 续期所有证书certbot renew# 测试续期不真正执行certbot renew --dry-run4.3 自动续期方法1Cron定时任务# crontab -e03* * * certbot renew --quiet --post-hooknginx -s reload方法2Systemd Timer推荐Certbot安装后通常自带timer# 查看timer状态systemctl status certbot.timer# 启用timersystemctlenablecertbot.timer systemctl start certbot.timer# 查看下次执行时间systemctl list-timers|grepcertbot4.4 续期钩子# 续期成功后执行的命令certbot renew --post-hooksystemctl reload nginx# 或在配置文件中设置# /etc/letsencrypt/renewal/example.com.conf[renewalparams]post_hooksystemctl reload nginx五、内网服务HTTPS5.1 问题场景内网服务器没有公网IP和域名如何配置HTTPS5.2 方案对比方案优点缺点自签名证书简单浏览器警告内网CA企业级方案配置复杂反向代理正规证书需要公网入口组网DNS验证正规证书需要域名5.3 自签名证书临时方案# 生成私钥openssl genrsa -out server.key2048# 生成证书openssl req -new -x509 -key server.key -out server.crt -days365\-subj/CNmyserver.local# Nginx配置使用ssl_certificate /path/to/server.crt;ssl_certificate_key /path/to/server.key;5.4 组网访问方案如果使用组网软件如星空组网将内网服务器和客户端连接起来内网服务器通过组网获得固定的虚拟IP用DNS验证方式获取Let’s Encrypt证书需要有域名将域名解析到组网的虚拟IP客户端通过域名HTTPS访问这样既有正规证书又不需要公网暴露服务器。六、常见问题6.1 验证失败Challenge failed for domain example.com排查确认80端口可访问curl http://example.com/.well-known/acme-challenge/test检查防火墙检查DNS解析是否正确6.2 速率限制Let’s Encrypt有速率限制每个域名每周50个证书每个IP每小时10个失败验证解决等待限制解除或使用测试环境certbot certonly --staging -d example.com6.3 证书续期失败# 查看续期日志cat/var/log/letsencrypt/letsencrypt.log# 常见原因# 1. 80端口被占用# 2. 域名DNS变更# 3. 防火墙规则变更七、其他ACME客户端除了Certbot还有其他Let’s Encrypt客户端客户端特点适用场景acme.sh纯Shell实现轻量无Python环境Caddy内置自动HTTPS简单场景Traefik云原生网关K8s环境7.1 acme.sh示例# 安装curlhttps://get.acme.sh|sh# 获取证书acme.sh --issue -d example.com -w /var/www/html# 安装证书到Nginxacme.sh --install-cert -d example.com\--key-file /etc/nginx/ssl/example.com.key\--fullchain-file /etc/nginx/ssl/example.com.crt\--reloadcmdnginx -s reload八、总结Let’s Encrypt HTTPS配置要点选择验证方式有80端口用HTTP验证否则用DNS验证选择客户端Certbot最通用acme.sh最轻量配置自动续期证书90天过期必须自动续期安全加固使用TLS1.2现代加密套件开启HSTS内网服务可以用组网DNS验证获取正规证书参考资料Let’s Encrypt官方文档https://letsencrypt.org/docs/Certbot文档https://certbot.eff.org/docs/Mozilla SSL Configuration Generatorhttps://ssl-config.mozilla.org/建议所有对外服务都应该使用HTTPSLet’s Encrypt让这件事变得零成本。