Application and Deployment of HTTPS Certificates
HTTPS证书的申请和部署
超文本传输协议安全 (HTTPS) 是 HTTP 的安全版本,HTTP 是用于在 Web 浏览器和网站之间发送数据的主要协议。HTTPS 经过加密,以提高数据传输的安全性。当用户传输敏感数据(例如通过登录银行账户、电子邮件服务或健康保险提供商)时,这一点尤其重要。
任何网站都应使用 HTTPS,尤其是那些需要登录凭据的网站。在现代 Web 浏览器(例如 Chrome)中,未使用 HTTPS 的网站与使用 HTTPS 的网站的标记有所不同。URL 栏中如出现挂锁,则表示该网页是安全的。Web 浏览器非常重视 HTTPS;Google Chrome 和其他浏览器将所有非 HTTPS 网站标记为不安全。
1.certbot
推荐指数:★★★☆☆
免费证书类型:DV 域名型
免费证书品牌:Let's Encrypt
免费通配符证书:支持
易操作性:困难
证书有效期: 90天
自动更新:支持
自动部署: 支持
这里先说下Let's Encrypt证书品牌:Let's Encrypt是免费、开放和自动化的世界知名证书颁发机构,由非盈利组织互联网安全研究小组(ISRG)运营。Let's Encrypt已为全世界1.8亿个网站提供HTTPS证书,可放心使用。 再说下这个certbot:certbot是一个脚本类型的Let's Encrypt证书申请客户端,需要一定的命令行使用经验方可操作,如需自动更新,还需要添加插件,使用起来比较困难。如有自动更新和自动部署需求,建议使用下面介绍的acme.sh和ohttps.com。
2.acme.sh
推荐指数:★★★★★
免费证书类型:DV 域名型
免费证书品牌:Let's Encrypt
免费通配符证书:支持
易操作性:一般
证书有效期: 90天
自动更新:支持
自动部署: 支持
acme.sh是一个知名的用于申请Let's Encrypt证书的开源项目,项目地址:https://github.com/acmesh-official/acme.sh,也是属于脚本类型,有比较详细的文档,支持自动化更新和自动化部署。唯一缺点,如果有更新后自动部署至多个节点的需求的话,acme.sh无法满足。如果你有一定的命令行使用经验,acme.sh使用起来还是非常方便,强烈推荐!关于更新后自动部署至多个节点的需求,建议使用下面介绍的ohttps.com。
3.freessl.cn
推荐指数:★★★☆☆
免费证书类型:DV 域名型
免费证书品牌:Let's Encrypt、TrustAsia
免费通配符证书:支持Let's Encrypt的通配符类型证书
易操作性:简单
证书有效期: Let's Encrypt通配符证书有效期90天、TrustAsia双域名证书有效期1年
自动更新:不支持
自动部署: 不支持
freessl.cn提供免费的Let's Encrypt和TrustAsia证书申请,Let's Encrypt支持通配符类型,TrustAsia仅支持双域名类型证书。申请界面比较友好,根据提示在域名解析记录中添加指定的TXT类型域名解析即可,对于不会使用命令行的小白用户来说使用起来比较简单。申请链接:https://freessl.cn/
具体操作:
(1)Centos安装Acme.sh,建议在root权限下安装。
curl https://get.acme.sh | sh -s email=my@example.com
注意:安装完成后,再重新打开命令行(如果是 SSH,选择重新连接),以使acme.sh命令生效。
(2)对域名进行授权
获得域名验证(DCV)授权信息
到您的域名解析服务商添加解析记录,下面以阿里云或者腾讯云域名解析:
(3)证书申请 & 部署
点击【配置完成,立即检测】后获得证书申请命令
(4)部署到 WebServer
Nginx 部署命令,新建文件夹 etc/nginx/ssl/yahoo/
acme.sh --install-cert -d example.com \ --key-file /path/to/keyfile/in/nginx/key.pem \ --fullchain-file /path/to/fullchain/nginx/cert.pem \ --reloadcmd "service nginx force-reload"
4. ohttps.com
推荐指数:★★★★★
免费证书类型:DV 域名型
免费证书品牌:Let's Encrypt
免费通配符证书:支持
易操作性:简单
证书有效期: 90天
自动更新:支持
自动部署: 支持
ohttps.com提供了类似于acme.sh的功能,不过提供了友好的管理界面,可申请Let's Encrypt免费通配符类型证书,还提供了证书吊销、到期前提醒、自动更新、自动部署功能。另外比acme.sh增加了一些非常实用的功能,主要包括可自动部署至阿里云、腾讯云、七牛云的负载均衡、内容分发CDN、SSL证书列表等,并可自动部署至多个nginx容器中。如果你有在证书更新后自动部署至多个不同节点的需求,使用ohttps.com就对了,在这里强烈推荐大家使用ohttps.com申请和管理Let's Encrypt颁发的免费HTTPS证书。申请链接:https://ohttps.com
