logo 🤗

技术视野

聚焦科技前沿,分享技术解析,洞见未来趋势。在这里,与您一起探索人工智能的无限可能,共赴技术盛宴。

logo
cover

ssl证书手工签名以及部署

350阅读

手动签证书

  1. 确定要签名的域名
export domain=pan.ipv8.cn
  1. 拉取xx项目
git clone https://github.com/acmesh-official/acme.sh
  1. 执行第一条命令,获取验证的txt
acme.sh --issue --dns -d ${domain} --keylength ec-256 --force --yes-I-know-dns-manual-mode-enough-go-ahead-please
  • 输出结果
[2022年 08月 31日 星期三 18:04:27 CST] Single domain='baidu.http3.cc'
[2022年 08月 31日 星期三 18:04:28 CST] Getting domain auth token for each domain
[2022年 08月 31日 星期三 18:04:50 CST] Getting webroot for domain='baidu.http3.cc'
[2022年 08月 31日 星期三 18:04:51 CST] Add the following TXT record:
[2022年 08月 31日 星期三 18:04:51 CST] Domain: '_acme-challenge.baidu.http3.cc'
[2022年 08月 31日 星期三 18:04:51 CST] TXT value: 'u7b8DOcwhCHL1M7yqruERhMEP2TDqmESyPhyQGitcnI'
[2022年 08月 31日 星期三 18:04:51 CST] Please be aware that you prepend _acme-challenge. before your domain
[2022年 08月 31日 星期三 18:04:51 CST] so the resulting subdomain will be: _acme-challenge.baidu.http3.cc
  1. 将domain和txt_value记录。然后去cloudflare,DNS解析那里,新建一个TXT类型的解析。
  2. 正式执行签名,如果失败,需要重新执行第四步,第五步
acme.sh --renew -d ${domain} --keylength ec-256 --force --yes-I-know-dns-manual-mode-enough-go-ahead-please --ecc
  • 若执行成功,则长这样。
[2022年 08月 31日 星期三 18:07:09 CST] Your cert is in: /home/ubuntu/.acme.sh/baidu.http3.cc_ecc/baidu.http3.cc.cer
[2022年 08月 31日 星期三 18:07:09 CST] Your cert key is in: /home/ubuntu/.acme.sh/baidu.http3.cc_ecc/baidu.http3.cc.key
[2022年 08月 31日 星期三 18:07:09 CST] The intermediate CA cert is in: /home/ubuntu/.acme.sh/baidu.http3.cc_ecc/ca.cer
[2022年 08月 31日 星期三 18:07:09 CST] And the full chain certs is there: /home/ubuntu/.acme.sh/baidu.http3.cc_ecc/fullchain.cer
  • 只需要域名.cer和域名.key文件即可。ca.cer和fullchain.cer并不需要。
  1. 配置nginx ssl
# 监听443
listen 443 ssl http2;

# 强制https
if ($server_port !~ 443){
    rewrite ^(/.*)$ https://$host$1 permanent;
}

# ssl 证书位置(上面是car公钥,下面是key私钥,路径根据你上传位置定)
ssl_certificate    /www/server/panel/vhost/cert/baidu.http3.cc/fullchain.pem;
ssl_certificate_key    /www/server/panel/vhost/cert/baidu.http3.cc/privkey.pem;

# ssl加密算法
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

# https长链接,让用户长期使用https(建议,如果失败则可以注释掉)
add_header Strict-Transport-Security "max-age=31536000";
  1. 重启/重载nginx即可。

版权属于:tlntin
本文链接: https://http5.cn/index.php/archives/9/
作品采用:本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。
更新于: 2023年05月26日 14:32


39 文章数
5 分类数
40 页面数
已在风雨中度过 1年160天12小时27分
目录
来自 《ssl证书手工签名以及部署》
可能感兴趣
MLC-LLM体验(以gemma-2b为例)
2024-04-21
Joplin+太极云实现笔记云同步
2023-05-07
Mac/Linux下VsCode cuda配置
2023-05-07
暗黑模式
暗黑模式
返回顶部
暗黑模式
暗黑模式
返回顶部