为什么不使用阿里云/腾讯云等公有云厂商提供的免费证书?
上篇介绍了从阿里云上面申请免费证书,有效期一年 为网站配置https证书
公有云提供的证书不支持通配符,只支持某个确定的解析。 不管是二级域名还是三级域名,只要是具体的确定的地址,都可以使用。
对于某个域名,如果DNS解析很少,如只有mail.abc.com,www.abc.com,blog.abc.com, 用公有云需要分别为其申请3个证书。
所以如果目前的域名解析不是太多,每年操作一次,也还可以。(注:据说现在有效期降为了三个月)
但很多场景下,公司业务很多,某个域名的A记录不可能只有这三两个,如qq.com, 可能下面有www.qq.com,qzone.qq.com, mail.qq.com,weixin.qq.com....等成百上千个
这时候就需要用到通配符证书,而公有云厂商大多并不支持申请免费的通配符证书,往往需要氪金
关于 通配符域名证书
通配符域名证书是什么? 和普通的证书比有什么区别?
通配符域名证书是一种用于保护多个子域名的 SSL/TLS 证书。它使用通配符字符(通常是星号 *)来表示一个或多个子域名的部分或全部。例如,一个通配符域名证书可以覆盖 *.example.com
,这意味着它可以保护诸如mail.example.com、blog.example.com和www.example.com等子域名。
与普通的证书相比,通配符域名证书具有以下区别:
- 覆盖多个子域名:通配符域名证书可以覆盖一个顶级域名下的多个子域名,而普通证书只能保护一个具体的域名。
- 灵活性和便利性:使用通配符域名证书可以简化证书管理过程。相比为每个子域名单独购买和配置证书,只需使用一个通配符证书即可涵盖所有需要保护的子域名。
需要注意的是,通配符域名证书只能覆盖一个级别的子域名。例如,*.example.com 可以保护 mail.example.com、blog.example.com,但无法保护 mail.server.example.com。如果需要保护多级子域名,可能需要考虑使用泛域名证书(Wildcard Certificate)。
再次确认,阿里云的通配符域名需要收费!
即 **多次申请过免费SSL证书,(当时)有效期一年,看起来只能针对单个具体地址。
没觉得这玩意多复杂,有收费的通配符域名,只要氪金,以为整个域名,不管三级四级五级,申请一个证书就可以。
即便使用通配符证书,也只能作用于某一级的,比如想要 *.qq.com
一个证书涵盖这个域名下所有二级,三级,四级域名,是做不到的(可能是出于安全目的故意这样规定?),只能覆盖全部xxx.qq.com,而对yyy.xxx.qq.com起不到作用
Let’s Encrypt
前面说到公有云一般不提供免费的通配符证书,但还是有一些赛博菩萨,提供这样的免费服务。其中Let’s Encrypt是最知名的之一,甚至有人认为,https的推广普及,其功不可没。
Let's Encrypt 通过免费、自动化的方式推动了网站的加密普及,提供了简单、安全和可靠的 SSL/TLS 证书解决方案,为用户提供更安全的网络体验。
Let’s Encrypt 是什么?有何作用?
Let's Encrypt 是一个免费、自动化的证书颁发机构(Certificate Authority,简称 CA),旨在为网站提供免费的 SSL/TLS 证书。它于2015年成立,由 Electronic Frontier Foundation(EFF)、Mozilla Foundation、University of Michigan 等组织共同支持。
Let's Encrypt 的目标是通过简化证书颁发流程,推动整个互联网的加密普及。传统的 SSL/TLS 证书需要手动申请、验证身份、付费并进行周期性续签,这给网站管理员带来了一定的复杂性和成本。而 Let's Encrypt 采用了自动化的证书颁发流程,可以方便快速地获取和更新证书。
Let's Encrypt 的作用包括:
- 提供免费的 SSL/TLS 证书:Let's Encrypt 提供了免费的数字证书,使得网站管理员可以轻松地为其网站启用加密连接,实现安全传输和数据保护。
- 促进网站加密普及:由于免费且易于使用,Let's Encrypt 在推动整个互联网的加密普及方面发挥了重要作用。更多的网站采用 SSL/TLS 加密可以提升用户隐私和数据安全,减少网络攻击和信息泄漏的风险。
- 自动化证书管理:Let's Encrypt 提供了一套自动化的证书颁发流程和工具,使得证书的申请、验证和更新变得简单和便捷。通过使用 Let's Encrypt 提供的 ACME 协议,可以实现证书的自动续签,减少了证书管理的负担。
申请及使用
参考 申请 Let's Encrypt 通配符 HTTPS 证书
根据不同系统,安装certbot
brew install certbot
或者
sudo apt-get install certbot
Certbot是一个由Let's Encrypt官方提供的免费开源的工具,它可以帮助用户自动化地获得、续期和部署SSL/TLS证书。 Certbot支持多种Web服务器,包括Apache、Nginx、Caddy等,用户可以使用Certbot来自动化地安装和配置SSL/TLS证书,以提高网站的安全性。
certbot -d n.dashen.tech(你要申请的证书,其实这里完全可以写*.dashen.tech) --manual --config-dir config --work-dir work --logs-dir logs --preferred-challenges dns certonly
其中,
--manual
:指定使用手动方式进行域名验证。这意味着certbot
将会提示用户手动添加 DNS TXT 记录或 HTTP 文件来验证域名所有权。这通常需要一定的技术知识和操作技巧。--config-dir config
:指定certbot
的配置文件目录为config
。在该目录下,certbot
将会保存证书和其他配置信息。--work-dir work
:指定certbot
的工作目录为work
。在该目录下,certbot
将会生成临时文件和其他工作文件。--logs-dir logs
:指定certbot
的日志文件目录为logs
。在该目录下,certbot
将会保存运行日志和其他信息。--preferred-challenges dns
:指定首选的验证方式为 DNS 验证。这意味着certbot
将会使用 DNS TXT 记录来验证域名所有权。certonly
参数表示只获取证书,而不进行证书安装。如果要同时获取证书和安装证书,可以使用run
命令代替certonly
命令。
按提示来即可~
中间需要去域名注册商管理后台,在你的域名下增加一条TXT解析,做验证用,证明这域名属于你---
一般有两种验证方式(称为Challenge),HTTP方式和DNS方式,增加TXT属于DNS方式。
(其实还有一种TLS-SNI-01的验证方式,目前用的不多,更多可参考 [验证方式
](https://letsencrypt.org/zh-cn/docs/challenge-types/))
再修改一下nginx配置,之后 ./nginx -s reload
(如果使用K8s,则创建新的secret,并编辑相应的ingress)
其实还有一个和Let's Encrypt 差不多的,叫TrustAsia,也有些知名度
SSL证书系列--Let’s Encrypt和TrustAsia哪个好?
从 Let's Encrypt 证书换成TrustAsia 证书的操作过程及注意事项
续期
Let's Encrypt证书有效期只有90天,需要注意续约。 在离到期时间还有不到30天时,就可以进行此操作。
一般可以使用certbot,并借助crontab自动续期..详情可参考下面两篇文章
(一般certbot最好就安装在这个网站的机器上,而不是在另外一台机器上申请到证书,再传上去,进行配置,这样不好自动化)
但为了稳妥起见,最好还是通过监控的方式,当证书有效期低于某个时间时,告警出来,再去手动或自动更新证书。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。