HTTPS 证书配置一劳永逸

便宜SSL11个月前 (08-05)便宜SSL知识152

HTTPS 证书相关的体系组织是一个商业团体,商人出于利益的需要,把 HTTPS 证书分为各类等级,笼统的说分收费证书和免费证书,但是无论如何技术本质是一样的,所谓收费证书就是在证书发放流程中域名校验环节严格了一些,不过最终目的还是一样,确保你是申请域名证书的拥有者,另外有一点就是需要确认审核发放的证书的下级组织是否有一定公信度,一般来说选择大家熟知的即可,而在不久前 Let’s Encrypt 这个组织宣布支持免费申请泛域名证书了,同时 Let’s Encrypt 也是顶级 CA 权威机构,所以以后 HTTPS 证书的费用就再也不需要了,我们只需要申请免费的证书即可,需要注意的是收费证书一般有效期时间比较长(3-5年),有效期时间越长越不安全,而 Let’s Encrypt 提供的证书只有3个月有效期,也就是说你需要定期更新证书,有效期越短越安全,出于以上背景我们整合资源,给出全自动更新方案,一劳永逸让你的站点证书永不过期

原理

  1. 获取证书(调用 Let’s Encrypt 提供的 API 自动实现对域名所有者的校验)

  2. 更新 Web 服务器 HTTPS 证书

  3. 更新 CDN 上相关域名证书配置(调用云服务商提供的 API 完成更新) [可选]

  4. 执行 CRONTAB 任务(每月自动执行一次上面三步骤)

实现一(小矩阵用户)

在小矩阵平台里的 Master 机器 /srv/salt/ssl/ 目录,我们默认有2个域名目录例子

  • example1.com 适用于 Qcloud DNS(dnspod.cn) 上的域名配置

  • example2.com 适用于 Aliyun DNS(net.cn) 上的域名配置

比如我们需要申请 xabcloud.com 在 dnspod.cn 上该域名的泛域名证书,流程如下步骤:(在 Master 机器操作)

1.复制一份例子

cd /srv/salt/ssl;cp -a example1.com xabcloud.com

2.编辑 /srv/salt/ssl/xabcloud.com/acme.sh 更新前面2行的 token 信息(从 dnspod.cn 站点用户中心那里获得,见下图;阿里云的 token 信息就是用户AccessKey信息,AccessKey ID 和 Access Key Secret)


相关文章

什么是DNS Leak?

什么是DNS Leak?DNS Leak指的是存在一个安全漏洞,该安全漏洞使得DNS请求暴露给了ISP DNS服务器,尽管VPN服务试图阻止这种情况。什么引起了DNS 泄露?DNS泄漏事件的发生有几个主要原因,通常是由于某种形式的配置错误导...

什么是组织验证(OV)SSL证书?

组织验证(OV)SSL证书是一种高度保证的SSL证书,用于验证公司/商务/组织类型的证书。商务SSL证书的主要目标是对商业平台使用的网站/业务和用户的敏感信息进行加密。它提出了2048位签名及高达256位的加密强度,证书详情显示组织名称,这...

迫于贫穷,求一个便宜好用的 SSL 证书

目前有一个域名需要解析二级也想用 https,迫于贫穷请大家介绍个好用又实惠的证书,谢谢了。Let's Encrypt 免费而且可以配置通配符example.com *.example.com 签同一张证书上自动更新 Le...

HTTPS 的证书过期时间是否应该缩短?

Google 向非正式 CA 行业组织 CA/B Forum 递交提议,建议将 HTTPS 证书的过期时间从 825 天减少到 397 天。设立证书过期时间是为了限制撤销证书清单的大小(有各种原因需要撤销证书),如果没有过期时间那...

换了服务器地址,旧的SSL证书是否还能继续使用?

随着信息化的普遍应用,企业网站、电商等对用户信息安全的重视,网站数据传输https加密的SSL证书的需求也在不断的重视,现在大部分网站都安装了SSL证书,网站建设者们常常会遇到这样的问题,由于服务器或者网站调整,服务器和 IP地址发生了...

性价比高的便宜SSL证书品牌有哪些?

先来看看国产品牌中有哪些便宜的SSL证书?GeoTrustGeoTrust是全球第二大数字证书品牌,是Digicert旗下中高端SSL证书品牌。GeoTrust SSL证书类型齐全,知名度高,兼容性好,签发速度快,可以为不同网站和服务器提供...

十分钟带你彻底搞明白https证书

 最近在部署kebernetes集群,为保证节点之间的通信安全,决定使用https证书认证,有些知识点有点迷糊,再梳理下。 为什么会有https       http协议,数据都是...

苹果ATS安全标准之HTTPS 证书验证浅析(下)

三、iOS实现支持HTTPS在OC中当使用NSURLConnection或NSURLSession建立URL并向服务器发送https请求获取资源时,服务器会使用HTTP状态码401进行响应(即访问拒绝)。此时NSURLConnection或...

使用商业认证中心的证书

如果 Rational ClearQuest® 用户来自多个组织,那么您将可能想要使用商业认证中心的证书。如果某些 Rational ClearQuest 用户来自帮助您进行设计或部署的其他组织,那么您将可能希望使用商业认证中心的证书。IB...

nginx配置便宜免费SSL证书及证书定时更新

環境 contos 6,證書發行Let's Encrypt.證書生成前提是域名是可用的,即已經備案通過並且有DNS解析到了具體IP1、安裝epel,>yum install epel-release2、下載certbot證書生...

SSL证书的HTTPS服务器能防止流量劫持吗?

科学技术的发展给我们带来了许多便利,但也带来了更多的潜在威胁,因此信息安全变得越来越重要。什么是流量劫持?流量劫持是一种古老的攻击方式,比如广告弹出,已经使用很久了。很多人已经麻木了,认为流量劫持不会造成什么损失。事实上,流量劫持可以通过各...

网站提示“不安全”警告怎么解决?

未部署SSL证书的网站地址栏会有“不安全”警告谷歌、火狐、360等浏览器会对未部署SSL证书的HTTP网站发出“不安全”的警告,提醒用户不要在该网站输入卡号等信息,容易被攻击者窃取。为了保护消费者的资金安全,谷歌等各大主流浏览器将所有未加密...

tomcat生成ssl证书

1.在cmd下进入tomcat目录:输入命令:keytool -genkey -alias tomcat_key -keyalg RSA -storepass changeit -keystore server.keystore -vali...

Fiddler抓包11-HTTPS证书Actions无法导出问题

前言在点Actions时候出现Export Failed:The root certificate could not be located.最近有很多小伙伴在fiddler导出证书的时候,遇到无法导出的问题,收集了几种解决办法,供参考。&...

设置DNS CAA记录,防止HTTPS证书错误签发

全球约有上百个证书颁发机构(CA)有权发放HTTPS证书,证明您网站的身份。CAA标准使得网站可以将指定CA机构列入白名单,仅授权指定CA机构为自己的域名颁发证书,防止HTTPS证书错误签发。设置CAA记录是提高网站安全性的方法之一。什么是...

域名型通配符ssl证书的优势及申请方法

ssl证书已经成为每个站点和通讯开发所必需的技术安全产品。有了这个证书,网站的安全性可以得到提高,所以在保护网站信息安全时,企业可以申请ssl证书,然后将证书配置到网站服务器上。目前,比较流行的ssl证书之一是域名型通配符ssl证书,它有许...

最熟悉的陌生人——基于共享证书的HTTPS上下文混淆攻击实证研究(三)

论文题目:Talking with Familiar Strangers: An Empirical Study on HTTPS Context Confusion Attacks (本文为ACM CCS 2020录用)论文作者:张明明,...