let's encrypt

听同事说,Let's Encrypt支持免费的通配符证书了,这是个好东西.之前弄免费证书,一直用阿里云的,一年一次,只能一个域名.这个泛域名证书虽然90天,申请一次,但是好在可以自动申请,话不多说,开工 下载 certbot mkdir /opt/certbot cd /opt/certbot wget https://dl.eff.org/certbot-auto chmod 755 certbot-auto 申请泛域名证书 ./certbot-auto certonly \ -d "*.cnrainbird.com" \ --manual \ --preferred-challenges dns-01 \ --server https://acme-v02.api.letsencrypt.org/directory Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator manual, Installer None Obtaining a new certificate Performing the following challenges: dns-01 challenge for cnrainbird.com - - - - - - - - - - -

最近使用了acme.sh 生产了 Let's Encrypt 的https 证书，但是在实际服务器上测试遇到如下问题 $ curl "https://www.aaa.com" 如下错误 curl: (60) Peer's Certificate issuer is not recognized. More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't adequate, you can specify an alternate file using the --cacert option 最开始我还以为是我服务器配置哪里出错了。后来测试了下其他国内的域名都可以访问，我就想到应该是https证书配置这块问题。后来查询了一些资料是我自己nginx 关于https配置不对导致的 server { listen 443 ssl; ssl_certificate /home/www/.acme.sh/xxxxx/xxxx

公益型数字证书颁发机构(CA) Let's Encrypt 不久前宣布，于（世界标准时间UTC）3月4日起撤销3,048,289张有效SSL/TLS 证书，并向受影响的客户发邮件告知，以便其及时更新。为避免用户业务中断，Let's Encrypt 建议用户在3月4日前更换受影响的证书，否则网站访客会看到一个与证书失效有关的安全警告。 由于事发的突然性和时区问题，以及因为免费证书导致本身服务能力较弱，Let's Encrypt只给一些公司不到2小时的通知，仅通知到其中极少部分的用户。 据统计，由于过期证书而导致的意外业务中断可能造成的损失超过1100万美元，对于那些不知道自己因无法预计的原因而经历业务中断的企业将会造成巨大损失！ Let's Encrypt 在邮件中写道：很遗憾，这意味着我们需要撤销受此错误影响的一批证书，其中包括您的一个或多个证书。因此造成的不便，我们深表歉意。 如果客户无法在证书被吊销（3月4日）前更新，网站访客将看到安全警告，直到证书再次更新。新证书的续签流程，可以在 ACME 文档中找到。 证书吊销事件起因：CAA验证Bug CAA是一种 DNS 记录，它允许站点所有者指定允许证书颁发机构（CA）颁发包含其域名的证书。该记录在 2013 年由 RFC 6844 标准化，以允许 CA “降低意外颁发证书的风险”。默认情况下，每个公共 CA

阿里云centos环境之Let's Encrypt SSL证书配置<十一> 1.目标 Let's Encrypt是国外一个公共的免费SSL项目。这里记录的是可执行的生成免费SSL证书Let’s Encrypt证书的过程。是手动配置的的流程。Python版本要求是2.7以上。 Python版本查看： python -V 结果是：Python 2.7.5 操作系统信息查看： cat /etc/redhat-release 结果是：CentOS Linux release 7.4.1708 (Core) 2.证书生成 进入/home/soft/ssl目录。没有目录的可自行创建。 执行命令 git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt ./letsencrypt-auto certonly --manual -d cas.zjclxny.com --email chenyuan122912@sina.com 其中最后一条命令：“--manual”是指定手动配置。"-d"指定域名，“--email”指定我的邮件，用户接收Let's Encrypt的邮件通知。 执行结果如下： 1.Are you OK with your IP being logged? 填“Y” 2. -----------------

Let's Encrypt免费SSL 证书的出现，也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止， Let's Encrypt 获得IdenTrust交叉签名，这就是说可以应用且支持包括FireFox、Chrome在内的主流浏览器的兼容和支持，虽然目前是公测阶段，但是也有不少的用户在自有网站项目中正式使用起来。 虽然目前Let's Encrypt免费SSL证书默认是90天有效期，但是我们也可以到期自动续约，不影响我们的尝试和使用。 第一、安装Let's Encrypt前的准备工作 根据官方的要求，我们在VPS、服务器上部署Let's Encrypt免费SSL证书之前，需要系统支持Python2.7以上版本以及支持GIT工具。 这个需要根据我们不同的系统版本进行安装和升级，因为有些服务商提供的版本兼容是完善的，尤其是debian环境兼容性比CentOS好一些。 比如CentOS 6 64位环境不支持GIT，我们还可以参考" Linux CentOS 6 64位系统安装Git工具环境教程 "和" 9步骤升级CentOS5系统Python版本到2.7 "进行安装和升级。 最为 简单的就是Debian环境不支持，可以运行"apt-get -y install git"直接安装支持，如果是CentOS直接运行"yum -y install git-core"支持。

微洽作为一个在线沟通的WebIM，为了数据传输安全，站点支持SSL是标配。申请SSL证书首选 Let's Encrypt 。今年3月14日官方宣布 正式对 ACMEv2 和泛域名证书提供支持 ，为搭建全站的ssl提供的条件。 申请Let’s Encrypt数字证书，首选使用 acme.sh ，亲测，申请和部署还是非常简单的。 首先安装acme.sh curl https://get.acme.sh | sh 如果acme.sh 命令未找到，执行一下这个 source ~/.bashrc 由于我的域名是阿里云购买的，需要验证所有权 export Ali_Key="xxx" export Ali_Secret="xxxxxxxx" 获取Ali_Key 和 Ali_Secret的方法 ，其他地方注册的请参考 这里 申请证书 设置好域名的密钥后，就可以执行申请命令了。 acme.sh --issue --dns dns_ali -d xxx.com -d *.xxx.com # 如果出现下面的提示，说明申请成功了 [Mon Apr 30 15:35:14 CST 2018] Your cert is in /root/.acme.sh/xxx.com/xxx.com.cer [Mon Apr 30 15:35:14 CST 2018] Your cert key is in /root/

微洽作为一个在线沟通的WebIM，为了数据传输安全，站点支持SSL是标配。申请SSL证书首选 Let's Encrypt 。今年3月14日官方宣布 正式对 ACMEv2 和泛域名证书提供支持 ，为搭建全站的ssl提供的条件。 申请Let’s Encrypt数字证书，首选使用 acme.sh ，亲测，申请和部署还是非常简单的。 首先安装acme.sh curl https://get.acme.sh | sh 如果acme.sh 命令未找到，执行一下这个 source ~/.bashrc 由于我的域名是阿里云购买的，需要验证所有权 export Ali_Key="xxx" export Ali_Secret="xxxxxxxx" 获取Ali_Key 和 Ali_Secret的方法 ，其他地方注册的请参考 这里 申请证书 设置好域名的密钥后，就可以执行申请命令了。 acme.sh --issue --dns dns_ali -d xxx.com -d *.xxx.com # 如果出现下面的提示，说明申请成功了 [Mon Apr 30 15:35:14 CST 2018] Your cert is in /root/.acme.sh/xxx.com/xxx.com.cer [Mon Apr 30 15:35:14 CST 2018] Your cert key is in /root/

参考并感谢 周花卷 https://www.jianshu.com/p/5afc6bbeb28c 下载letsencrypt镜像(不带tag标签则表示下载latest版本) docker pull quay.io/letsencrypt/letsencrypt 首次部署 docker run --rm -p 80:80 -p 443:443 \ --mount type=bind,source=/var/docker/configs/letsencrypt/,target=/etc/letsencrypt \ quay.io/letsencrypt/letsencrypt auth \ --standalone -m 接受提醒的邮箱 --agree-tos \ -d 需要ssl的域名地址 续租时 docker run --rm -p 80:80 -p 443:443 \ --mount type=bind,source=/var/docker/configs/letsencrypt/,target=/etc/letsencrypt \ quay.io/letsencrypt/letsencrypt renew \ --standalone 开放80和443端口并立即生效 firewall-cmd --zone=public --add-port=80/tcp --permanent

免费提供网站HTTPS加密的Let's Encrypt SSL 证书发布了简体中文版，支持包括中文在内的七种语言。 从事网站运营的站长们都知道，HTTPS加密SSL证书，主要是用于网络浏览器和网络服务器之间的数据加密，传输网站数据比较安全，因此也得到了几乎，谷歌，百度，等各大主流搜索引擎的认可，并且现在算是要求每个站都尽量安装SSL 证书。 而 Let's Encrypt 推出的SSL 证书不仅免费，搭建过程也很简单快捷，因此受到了很多站长的青睐，但是因为是外国研发的，国内很多站长，使用起来不太方便，估计是为了满足中国用户的需求，Let's Encrypt 最近发布SSL 证书简体中文版，支持包括中文在内的七种语言吗，也是很贴心了！ 因此，磊哥觉得，这次Let's Encrypt网站上线了简体中文版，对国内的站长而言，是个好消息，因为，现在基本所有的搜索引擎都基本算是要求网站必须配备ssl，不仅跟网站安全有关，还直接影响到网站的排名，很多搜索引擎已经算是强制要求安装了，不安装的就给你提示危险网站，这对网站营销很大。 所以，ssl证书基本等于网站必备了，新站现在一般建立就装，老站也在陆续的更新，卢松松博客，前阵子也换上了https，虽然期间有一些问题，但是现在也算是稳定了，因此磊哥还是建议没有安装SSL证书的站长可以可以安装下，网站被影响了就不好了。 本文来自卢松松博客 原文地址