⑴ 如何創建一個自簽名的SSL證書
創建自簽名證書的步驟
注意:以下步驟僅用於配置內部使用或測試需要的SSL證書。
第1步:生成私鑰
使用openssl工具生成一個RSA私鑰
$ openssl genrsa -des3 -out server.key 2048
說明:生成rsa私鑰,des3演算法,2048位強度,server.key是秘鑰文件名。
注意:生成私鑰,需要提供一個至少4位的密碼。
第2步:生成CSR(證書簽名請求)
生成私鑰之後,便可以創建csr文件了。
此時可以有兩種選擇。理想情況下,可以將證書發送給證書頒發機構(CA),CA驗證過請求者的身份之後,會出具簽名證書(很貴)。另外,如果只是內部或者測試需求,也可以使用OpenSSL實現自簽名,具體操作如下:
$ openssl req -new -key server.key -out server.csr
說明:需要依次輸入國家,地區,城市,組織,組織單位,Common Name和Email。其中Common Name,可以寫自己的名字或者域名,如果要支持https,Common Name應該與域名保持一致,否則會引起瀏覽器警告。
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios
Organizational Unit Name (eg, section) []:info technology
Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com
Email Address []:[email protected]
第3步:刪除私鑰中的密碼
在第1步創建私鑰的過程中,由於必須要指定一個密碼。而這個密碼會帶來一個副作用,那就是在每次Apache啟動Web伺服器時,都會要求輸入密碼,這顯然非常不方便。要刪除私鑰中的密碼,操作如下:
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
第4步:生成自簽名證書
如果你不想花錢讓CA簽名,或者只是測試SSL的具體實現。那麼,現在便可以著手生成一個自簽名的證書了。
$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
說明:crt上有證書持有人的信息,持有人的公鑰,以及簽署者的簽名等信息。當用戶安裝了證書之後,便意味著信任了這份證書,同時擁有了其中的公鑰。證書上會說明用途,例如伺服器認證,客戶端認證,或者簽署其他證書。當系統收到一份新的證書的時候,證書會說明,是由誰簽署的。如果這個簽署者確實可以簽署其他證書,並且收到證書上的簽名和簽署者的公鑰可以對上的時候,系統就自動信任新的證書。
第5步:安裝私鑰和證書
將私鑰和證書文件復制到Apache的配置目錄下即可,在Mac 10.10系統中,復制到/etc/apache2/目錄中即可。
需要注意的是,在使用自簽名證書時,瀏覽器會提示證書不受信任,如果你是對外網站使用,建議還是去CA機構申請可信的SSL證書。
⑵ 腳本自動續期ssl證書 Let』s Encrypt
Let』s Encrypt: https://letsencrypt.org/
Let』s Encrypt is a free, automated, and open Certificate Authority.
用 acme.sh申請來自動續期ssl證書
acme說明: https://github.com/Neilpang/acme.sh/wiki/說明
https://www.cnblogs.com/esofar/p/9291685.html
前端的Upgrade請求發送給後端伺服器,Upgrade和Connection的頭信息必須被顯式的設置。一旦我們完成以上設置,NGINX就可以處理WebSocket連接了。查看配置在哪裡 ps -ef|grep nginx
多個域名的話,配多個nginx.conf配置。
OK 完成,就是這么簡單
通配符證書申請
用certbot來自動續期ssl證書
https://certbot.eff.org/lets-encrypt/centosrhel7-nginx
Let』s Encrypt 是一個免費 SSL 證書發行項目,自動化發行證書,證書有 90 天的有效期。於是有了另外一個項目可以自動安裝,自動續期。
直接上網站
選擇 WEB 伺服器版本,系統版本,然後執行腳本即可。
執行完成之後執行 certbot run 跟著步驟就行了。
在 crontab -e 編輯文件
定時每天檢查,如果要過期則自動延期。
⑶ 如何創建一個自簽名的ssl證書
藉助openssl就可以創建,很簡單。
自簽名SSL證書存在很大的安全隱患和風險,不建議大家安裝。具體風險如下:
第一、被「有心者」利用
其實「有心者」指的就是黑客。自簽名SSL證書你自己可以簽發,那麼同樣別人也可以簽發。黑客正好利用其隨意簽發性,分分鍾就能偽造出一張一模一樣的自簽證書來安裝在釣魚網站上,讓訪客們分不清孰真孰假。
第二、瀏覽器會彈出警告,易遭受攻擊
前面有提到自簽名SSL證書是不受瀏覽器信任的,即使網站安裝了自簽名SSL證書,當用戶訪問時瀏覽器還是會持續彈出警告,讓用戶體驗度大大降低。因它不是由CA進行驗證簽發的,所以CA是無法識別簽名者並且不會信任它,因此私鑰也形同虛設,網站的安全性會大大降低,從而給攻擊者可乘之機。
第三、安裝容易,吊銷難
自簽名SSL證書是沒有可訪問的吊銷列表的,所以它不具備讓瀏覽器實時查驗證書的狀態,一旦證書丟失或者被盜而無法吊銷,就很有可能被用於非法用途從而讓用戶蒙受損失。同時,瀏覽器還會發出「吊銷列表不可用,是否繼續?」的警告,不僅降低了網頁的瀏覽速度,還大大降低了訪問者對網站的信任度。
第四、超長有效期,時間越長越容易被破解
自簽名SSL證書的有效期特別長,短則幾年,長則幾十年,想簽發多少年就多少年。而由受信任的CA機構簽發的SSL證書有效期不會超過2年,因為時間越長,就越有可能被黑客破解。所以超長有效期是它的一個弊端。
⑷ 瀏覽器提示ssl證書無效,怎麼解決
SSL證書錯誤一般有四種情況:
1、SSL證書過期
按照安全證書簽發的國際標准,SSL證書最長有效期為2年,一般購買證書默認的是一年,所以大家一定要注意自己的SSL證書時間。
2、SSL證書安裝配置錯誤
SSL證書安裝非常的繁雜,一般人很難安裝。
3、SSL證書不受信任
目前市場上存在一些SSL證書,沒有通過全球信任,建議選擇全球信任的SSL證書。
4、SSL證書生效時間與電腦時間有沖突
這種情況的話,可以通過設置電腦系統時間來解決。
⑸ 怎樣使用SHELL腳本在NGINX上一鍵部署SSL
iftest「$1」="delete"thenfi第一個參數用$1來取得。
⑹ python3下檢查ssl證書過期時間(續)
我之前寫過一個腳本用於實現檢查ssl證書並郵件通知的功能:
python3下檢查ssl證書過期時間並郵件通知
但是在使用過程中,我發現了一個問題: 證書過期時間不準 。這種說法可能不是很准確,確切地說是:如果在一級域名下配置了子域名證書,且不同級證書過期時間不同,則之前的腳本可能會檢查到一級域名的過期時間,並不會返回子域名證書過期時間,如此便會出現過期時間不準的情況。
於是我在網上找到一個可用的腳本(python3.6.5下親測有效),鏈接如下:
https://gist.github.com/gdamjan/?tdsourcetag=s_pctim_aiomsg
腳本具體內容我這里也貼一下,可按實際需求進行修改,使用前務必注意安裝相關模塊:
⑺ SSL證書無效怎麼解決
SSL證書無效一般存在以下幾種原因:
1、SSL證書過期
按照安全證書簽發的國際標准,SSL證書最長有效期為2年,一般購買證書默認的是一年,所以大家一定要注意自己的SSL證書時間。
2、SSL證書安裝配置錯誤
SSL證書安裝非常的繁雜,一般人很難安裝,可聯系證書提供商安裝。
3、SSL證書不受信任
目前市場上存在一些SSL證書,沒有通過全球信任,建議購買全球信任的SSL證書,比如Symantec、Geotrust、Comodo以及RapidSSL等知名CA機構。
4、SSL證書生效時間與電腦時間有沖突
這種情況的話,可以通過設置電腦系統時間來解決
步驟一:打開電腦控制面板