如何申请免费SSL证书,并部署到Nginx?

已于 2024-04-09 11:44:13 修改
阅读量2.5k 收藏 37
点赞数 37
CC 4.0 BY-SA版权
分类专栏: HTTPS 文章标签: ssl nginx https
于 2024-04-08 23:02:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gwyx123/article/details/137523961
本文介绍了LetsEncrypt提供的免费SSL/TLS证书服务,重点讲解了如何方便地申请证书,以及如何将其部署到Nginx服务器以确保网站安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        HTTPS是一种通过加密来保护网络通信安全的协议,对于保护网站和用户数据的安全至关重要。而要实现HTTPS安全通信,就必须要有SSL/TLS证书,传统上,获取和配置SSL/TLS证书需要一定的成本和技术知识,这对于小型网站、个人博客等资源有限的实体来说可能是一个障碍。因此申请免费的SSL证书就显得非常的有必要。

        申请免费的SSL证书有很多种途径,在国内的华为云、阿里云和腾讯云等都可以申请到免费3个月的SSL证书,但这里我们讲的是另一种方式,那就是Let's Encrypt 。为什么选择这种方式呢?因为通过Let's Encrypt 网站申请证书非常方便。

        Let's Encrypt是一个提供免费SSL/TLS证书的服务,旨在使HTTPS加密通信更加普及和易于实现。Let's Encrypt的目标是通过提供免费、自动化和开放的SSL/TLS证书,促进整个互联网的加密。它的证书由现代浏览器所信任,因此网站使用Let's Encrypt证书可以得到与商业SSL证书相同的安全保障,同时也为网站所有者节省了成本。

Let's Encrypt证书的特点包括:

  1. 免费: Let's Encrypt提供的SSL/TLS证书完全免费,没有任何隐藏费用。
  2. 开放: Let's Encrypt的证书管理工具和协议是开放的,任何人都可以访问并使用。
  3. 安全: Let's Encrypt证书采用现代加密算法,提供与商业SSL证书相当的安全性。

接下来我们详细介绍从Lets Encrypt申请证书和发布部署证书的过程:

一、申请证书

(1)申请证书之前,需要准备好用于绑定证书的域名(假如您的域名是:abc.yuming.com)。这个域名必须能够正常访问,也就是说通过浏览器可以正常访问:http://abc.yuming.com 。

(2)打开网站: 来此加密 - Let's Encrypt 在线免费申请SSL证书

(3)点“立即开始”,注册用户。(如果已注册用户,直接点“登录”)

(4)登录之后,选择“申请证书”,之后照着申请证书的指引,一步步完成证书的申请。一般来说,直接按照默认的选项申请就行。

(5)提交申请成功之后,还要进行一次手工验证。验证方式建议选择DNS验证。如下图所示:

(6)在您的域名管理网站,根据系统提示的DNS验证资料,添加一条TXT域名解析记录,完成之后,点击验证。等待验证通过之后证书就申请到手啦。

在申请证书的第二步,如果选择自定义CSR,可以使用以下网站创建CSR文件:SSL在线工具-CSR在线生成-CSR在线创建-证书请求文件生成-SSLeye官网

 从Let's Encrypt网站将证书申请到手之后,可以将证书下载到本地,也有如何部署到tomcat、nginx等几个常见的应用服务器的部署指引。

解压后的证书文件如下:

二、部署证书

接下来我们详细介绍如何将证书部署到nginx。

(1)在nginx根目录下,创建cert目录。并将解压后的所有证书文件,直接上传到这个目录下。(假如nginx根目录为 /usr/local/nginx )

(2)修改nginx的配置文件

server {
        listen       443 ssl;
        server_name  abc.yuming.com;

        ssl_stapling on;
        ssl_stapling_verify on;  

        ssl_certificate      /usr/local/nginx/cert/fullchain.crt;
        ssl_certificate_key  /usr/local/nginx/cert/private.pem;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        #  ssl_ciphers  HIGH:!aNULL:!MD5;
	    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers  on;      

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

(3)测试nginx配置是否正确:nginx -t  ,如果出现下图所示错误,则说明nginx未安装ssl模块,需要安装ssl模块后,再执行配置测试。(如何安装ssl模块,网上很多,这里不说了。)

(4)重新加载配置:nginx -s reload 

三、测试访问

在浏览器中,直接输入:https://abc.yuming.com,如果出现下图所示页面,表示证书部署成功。

Nginx服务器上安装SSL证书
邓邓子的博客
04-15 6553
目录一、准备工作1.注意事项(1)证书安装前,务必在安装 SSL 证书的服务器上开启 “443” 端口,同时在安全组增加 “443” 端口,避免安装后仍然无法启用 HTTPS。(2)如果一个域名有多个服务器,则每一个服务器上都要部署。(3)待安装证书的服务器上需要运行的域名,必须与证书的域名一一对应,即购买的是哪个域名的证书,则用于哪个域名。否则安装部署后,浏览器将提示不安全。二、安装步骤1.获取文件2.创建目录3.修改配置文件4.验证配置是否正确5.重启 Nginx6.效果验证 一、准备工作 已申请 S
免费SSL证书申请流程_域名DNS验证_SSL证书下载部署全流程
facaixxx2024的博客
08-23 4596
2024年最新阿里云免费SSL证书申请流程,阿里云免费SSL证书品牌是Digicert,免费单域名证书,一个阿里云账号可以免费申请20张SSL免费证书免费时长为3个月(之前是一年免费时长),免费SSL证书是在阿里云数字证书管理服务控制台申请的,阿里云百科aliyunbaike.com整理最新阿里云免费SSL证书申请、域名绑定、域名DNS验证及SSL证书下载全流程。
Let‘s Encrypt免费证书申请
dufuyun5的专栏
07-24 568
每天 2 点 和 14 点,系统会静默尝试续期证书,如果证书有更新,就验证 nginx 配置平滑重载 nginx,使新证书生效,所有日志记录到 /var/log/certbot-renew.log。要保证 SSL 证书申请成功,dusirui.com 和 www.dusirui.com 都必须正确解析到服务器 IP。其中/usr/bin/systemctl 通过which systemctl查看具体位置。/usr/local/nginx/sbin/nginx是自己nginx的安装目录。
申请免费SSL证书
10-31
啥也不多说了,内容看title,方便大家申请SSL证书,免得到处找
SSL证书免费申请流程(nginx配置)
花开不合阳春暮
11-15 737
1.访问域名https://freessl.cn/ 2.输入需要申请SSL证书的域名 选择免费品牌亚洲诚信,然后点击创建免费SSL证书按钮 3.选择证书类型RSA、验证类型文件验证、CSP生成浏览器生成,点击点击创建按钮 4.点击下图中的下载文件,获取fileauth.txt 5.将文件上传至域名对应服务器nginx文件夹的html/.well-known/pki-validation文件夹...
SSL For Free 申请免费https SSL 凭证
billy0707的专栏
05-17 7871
一、 开启 SSL For Free 网站后,直接在上方填入你要申请 Let’s Encrypt 凭证的网域名称,可以用空白来分隔不同的网址,例如「subdomain.domain.com domain.com other.com」,填入后点选右边的「Create Free SSL Certificate」继续。 二、 提供了三种验证网站的方式,此处选择使用手动的验证方式,即[Manually
免费申请SSL证书的方法
07-31
腾讯云与GeoTrust合作推出免费DV SSL(域名型) CA – G3证书且在一定程度上简化了申请流程,只需填入需要申请证书的域名、验证域名所有权,两步即可完成申请
mkcert自制SSL本地证书部署Nginxhttps信任使用
04-28
本文将详细介绍如何使用mkcert工具生成自签名SSL证书将其部署Nginx服务器,使浏览器信任这个证书。 首先,`mkcert`是一个开源工具,它允许你在本地快速创建和安装信任的根证书权威机构(CA)以及与其关联的...
SSL证书制作及nginx部署
yudaxiaye的博客
05-23 2043
本文主要介绍了SSL证书的制作及如何将证书部署nginx中,简要说明在制作及部署过程中可能遇到的问题。
生成ssl证书配置到nginx
weixin_40668374的博客
05-13 398
位置:/etc/letsencrypt/live/test.test.com 下面。看到上面图片后,在新网上继续生成一条text记录,首先在新网上创建一个A链接,域名与服务器做绑定。证书可以自动续签的,打开服务,设置开机自启动。但是要监听续签之后要重新加载nginx配置。保存之后,执行回车,就会生成证书了。3. 配置nginx
Nginx 服务器 SSL 证书安装部署配置(已实测)
web13508588635的博客
01-17 953
如果没有,接下来进入到你的解压缩后的nginx目录,注意这里不是nginx安装目录,是解压缩后的目录,我的是在(/user/local/nginx-1.24.0),进入到你的nginx安装目录下面,我的目录是在(/usr/local/nginx),如果你的nginx安装步骤和我一致的话。将下载好的证书上上传到服务器,我将证书放在了/usr/local/nginx/conf目录下的ssl文件夹。停掉nginx服务,使用新的nginx文件替换掉之前安装目录sbin下的nginx。替换掉之前的nginx
Nginx 配置 https 访问:SSL 免费证书申请自动更新(完整命令篇)
03-20 2134
阿里云 SSL 免费证书有效期从以前的一年调整为三个月,使用起来比较麻烦。 本文记录了在 CentOS 7.9 如何使用 acme.sh 完成免费证书申请以及自动更新过程,再也不必为 SSL 证书过期而烦恼了。
httpsssl证书申请及服务器的nginx的配置教程
Buggggggg
06-09 379
1.获取阿里云证书,阿里云提供免费版和收费版,看自己的情况而定,我这里使用的是免费https://common-buy.aliyun.com/?spm=5176.2020520163.cas.3.726ftDZTtDZTIg&commodityCode=cas#/buy 以上为获取证书的地址 或者自己去找阿里云的ssl证书购买的地方 2.购买成功之后,在证书列表页面去申请 ...
Nginx启用HTTPS详解:从获取SSL证书到配置指南
kiingking的博客
07-19 2089
要使Nginx支持HTTPS,您需要完成以下步骤。假设您已经在服务器上安装了Nginx且有基本的Linux命令行操作经验。
Let’s Encrypt申请证书流程(附带问题解决方式)
liao3399084的博客
07-20 6594
区别OpenSSL定义Let’s Encrypt是一个由互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA)OpenSSL是一个强大的开源程序套件,主要用于提供加密功能,包括SSL/TLS协议的实现功能旨在通过自动化流程消除手动创建和安装SSL/TLS证书的复杂流程,推广万维网服务器的加密连接,为安全网站提供免费SSL/TLS证书提供加密库(libcrypto)和SSL/TLS库(libssl),支持多种加密算法和协议,可用于创建、管理SSL/TLS证书和私钥等。
通过Let‘s Encrypt获取免费SSL证书
2301_82115851的博客
03-20 1742
以下是使用申请免费 SSL 证书的详细步骤,以。
使用 Let’s Encrypt 生成免费 SSL 证书
weixin_44512485的博客
06-18 1569
通过以上步骤,你可以使用 Let’s Encrypt 和 Certbot 为你的域名 www.hei.asia 生成和安装免费SSL/TLS 证书配置 Web 服务器来使用这些证书。定期更新证书也可以通过自动化任务来实现,确保你的站点始终保持安全。
手把手教你免费白嫖域名证书,永久免费续约 开源的SSL证书管理工具,可以帮助你申请SSL证书,自动续期SSL证书
java初识者
01-21 1748
安装简单,只需要下载二进制文件,然后直接运行即可。同时也支持docker部署、源代码部署等方式。做个人产品或者在小企业里负责运维的同学,会遇到要管理多个域名的情况,需要给域名申请证书。但是手动申请证书有以下缺点:😱麻烦:申请证书部署到服务的流程虽不复杂,但也挺麻烦的,犹其是你有多个域名需要维护的时候。😭易忘:另外当前免费证书的有效期只有90天,这就要求你定期的操作,增加了工作量的同时,你也很容易忘掉续期,从而导致网站访问不了。
Let‘s Encrypt域名验证过程详解——Let‘s Encrypt免费证书申请过程
AI天才研究院
08-28 1424
作者:禅与计算机程序设计艺术 1.简介 概要 Let's Encrypt是一个开放源代码的公共(非盈利)、自动化证书颁发机构(Certificate Authority)。该机构为互联网上的网站提供免费SSL/TLS证书,其认证服务由一系列的ACME协议所定义
如何将Python生成的SSL证书部署Nginx服务器?
最新发布
08-09
<think>我们有两个方法生成证书:1.使用Python调用OpenSSL命令生成;2.使用cryptography库生成。 无论哪种方法,我们都会得到两个文件:私钥(.key)和证书(.crt)。 现在,我们需要将这两个文件部署Nginx服务器上。 步骤: 1. 将生成的私钥和证书文件放到Nginx服务器上的安全目录(通常为/etc/ssl/private和/etc/ssl/certs)。 2. 修改Nginx配置文件(通常位于/etc/nginx/sites-available/或/etc/nginx/conf.d/),为需要HTTPS的server块配置SSL证书路径。 3. 测试Nginx配置重新加载Nginx服务。 详细步骤: 步骤1:放置证书文件 - 将私钥文件(如nginx-selfsigned.key)复制到/etc/ssl/private/目录(注意权限) - 将证书文件(如nginx-selfsigned.crt)复制到/etc/ssl/certs/目录 步骤2:配置Nginx - 打开Nginx配置文件(例如:/etc/nginx/sites-available/default 或为你的站点单独创建的配置文件) - 在server块中配置监听443端口指定证书和私钥的路径。 步骤3:测试重载Nginx - 运行 `sudo nginx -t` 测试配置是否正确 - 如果测试成功,则重载Nginx:`sudo systemctl reload nginx` 下面是一个Nginx配置示例(针对HTTPS):</think># 在Nginx服务器上部署Python生成的SSL证书 下面是将Python生成的SSL证书部署Nginx服务器的完整步骤指南: ## 一、证书文件准备 1. **获取证书文件**: - 私钥文件:`nginx-selfsigned.key` - 证书文件:`nginx-selfsigned.crt` 2. **安全存放证书**: ```bash sudo mkdir -p /etc/ssl/private sudo mkdir -p /etc/ssl/certs # 复制证书文件 sudo cp nginx-selfsigned.key /etc/ssl/private/ sudo cp nginx-selfsigned.crt /etc/ssl/certs/ # 设置安全权限 sudo chmod 600 /etc/ssl/private/nginx-selfsigned.key sudo chown root:root /etc/ssl/private/nginx-selfsigned.key ``` ## 二、Nginx配置HTTPS 编辑Nginx配置文件(通常位于`/etc/nginx/sites-available/default`或`/etc/nginx/conf.d/default.conf`): ```nginx server { listen 443 ssl http2; server_name yourdomain.com; # 替换为您的域名 # SSL证书配置 ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt; ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key; # SSL协议配置 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; ssl_prefer_server_ciphers on; # 性能优化 ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; # HSTS安全增强(可选) add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"; # 网站根目录配置 root /var/www/html; index index.html index.htm; location / { try_files $uri $uri/ =404; } } # HTTP重定向到HTTPS server { listen 80; server_name yourdomain.com; # 替换为您的域名 return 301 https://$host$request_uri; } ``` ## 三、验证应用配置 1. **测试Nginx配置**: ```bash sudo nginx -t ``` 输出应为:`nginx: configuration file /etc/nginx/nginx.conf test is successful` 2. **重启Nginx服务**: ```bash sudo systemctl restart nginx ``` 3. **验证服务状态**: ```bash sudo systemctl status nginx ``` ## 四、验证SSL证书 1. **浏览器验证**: - 访问 `https://yourdomain.com` - 自签名证书会显示安全警告(预期行为) - 可手动添加安全例外继续访问 2. **命令行验证**: ```bash openssl s_client -connect yourdomain.com:443 -servername yourdomain.com ``` 3. **验证证书和私钥匹配**: ```bash openssl x509 -noout -modulus -in /etc/ssl/certs/nginx-selfsigned.crt | openssl md5 openssl rsa -noout -modulus -in /etc/ssl/private/nginx-selfsigned.key | openssl md5 ``` 两个命令输出的MD5值应相同 ## 五、安全增强配置(可选) ```nginx # 在SSL配置块中添加 ssl_dhparam /etc/ssl/certs/dhparam.pem; # 生成命令: openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 # OCSP装订提高性能 ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 5s; # 安全头信息 add_header X-Frame-Options "SAMEORIGIN"; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; ``` ## 六、生产环境建议 1. **替代自签名证书**: ```bash # 使用Certbot获取免费Let's Encrypt证书 sudo apt install certbot python3-certbot-nginx sudo certbot --nginx -d yourdomain.com ``` 2. **自动续签证书**: ```bash # 测试续签 sudo certbot renew --dry-run # 添加定时任务(每月执行) sudo crontab -e # 添加行:0 0 1 * * /usr/bin/certbot renew --quiet ``` 3. **证书轮换策略**: - 定期更新证书(建议每3-6个月) - 使用脚本自动化证书更新和Nginx重载 ## 常见问题排查 1. **Nginx启动失败**: - 检查证书路径是否正确 - 验证证书文件权限 - 查看错误日志:`sudo tail -f /var/log/nginx/error.log` 2. **浏览器安全警告**: - 自签名证书会显示警告(正常现象) - 生产环境应使用受信任CA证书 3. **HTTPS重定向循环**: - 检查`$host`变量是否正确 - 确保没有多个重定向规则冲突 > 提示:自签名证书仅适用于测试环境,生产环境建议使用[Let's Encrypt](https://letsencrypt.org/)免费证书或商业CA证书[^1][^3]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值