Let's Encrypt 介紹

Let's Encrypt 是一個(gè)免費(fèi)、自動(dòng)化的證書頒發(fā)機(jī)構(gòu)（CA，Certificate Authority），致力于為網(wǎng)站提供免費(fèi)的SSL/TLS證書。以下是關(guān)于Let's Encrypt安全證書的詳細(xì)介紹：

特點(diǎn)和背景：

1. 免費(fèi)：Let's Encrypt的最大特點(diǎn)是提供免費(fèi)的SSL/TLS證書，這使得任何網(wǎng)站都可以免費(fèi)獲得HTTPS加密，并增加用戶數(shù)據(jù)的安全性。

2. 自動(dòng)化：Let's Encrypt采用了自動(dòng)化的證書頒發(fā)流程，通過簡單的命令或API可以輕松獲取證書。證書的申請(qǐng)、驗(yàn)證和安裝過程大部分都是自動(dòng)化完成的。

3. 支持HTTPS推廣：Let's Encrypt的目標(biāo)之一是促進(jìn)全球范圍內(nèi)的HTTPS推廣，以提高網(wǎng)絡(luò)安全性和用戶隱私保護(hù)水平。

4. 短期證書：Let's Encrypt頒發(fā)的證書有效期為90天，相較于傳統(tǒng)CA頒發(fā)的1年或更長期的證書，需要更頻繁地更新證書。但自動(dòng)化續(xù)期和更新過程相對(duì)簡便。

獲取和申請(qǐng)證書的流程：

1. Certbot工具：通常，通過Certbot工具可以快速、簡單地申請(qǐng)Let's Encrypt證書。Certbot支持多種服務(wù)器類型和操作系統(tǒng)，并提供了簡化的命令行工具。

2. 證書申請(qǐng)：使用Certbot等工具，您可以申請(qǐng)證書并通過DNS或HTTP等方式完成域名所有權(quán)的驗(yàn)證。

3. 證書安裝：申請(qǐng)成功后，證書將被下載并存儲(chǔ)在服務(wù)器上，通常存儲(chǔ)在/etc/letsencrypt目錄中，并由Certbot或其他工具自動(dòng)配置服務(wù)器以使用新的證書。

優(yōu)勢和適用場景：

• 成本低廉：作為一個(gè)免費(fèi)的CA機(jī)構(gòu)，Let's Encrypt證書極大地降低了網(wǎng)站開啟HTTPS的成本，特別適用于中小型網(wǎng)站和個(gè)人網(wǎng)站。

• 自動(dòng)化：Let's Encrypt提供的自動(dòng)化工具使得證書的獲取和更新過程變得更加簡單和便捷，減少了運(yùn)維人員的負(fù)擔(dān)。

• 促進(jìn)安全：讓更多的網(wǎng)站啟用HTTPS，提高了整個(gè)互聯(lián)網(wǎng)的安全性和用戶隱私保護(hù)水平，對(duì)于數(shù)據(jù)安全至關(guān)重要。

• 廣泛支持：Let's Encrypt受到了廣泛的支持和認(rèn)可，許多操作系統(tǒng)和Web服務(wù)器都集成了Let's Encrypt的支持。

certbot工具介紹

Certbot 是一個(gè)由 Electronic Frontier Foundation（EFF）支持的免費(fèi)、開源的工具，用于自動(dòng)化獲取、部署和更新 HTTPS 證書。它是為了方便使用 Let's Encrypt 服務(wù)而開發(fā)的，允許用戶在 Web 服務(wù)器上快速設(shè)置 SSL/TLS 加密連接。

Certbot 的主要特點(diǎn)和功能包括：

1. 自動(dòng)化證書獲取和更新：Certbot 提供了簡單的命令行接口，用于自動(dòng)獲取、安裝和更新 Let's Encrypt 的 SSL/TLS 證書。它可以在 Linux、Windows、macOS 等操作系統(tǒng)上運(yùn)行。

2. 支持多種服務(wù)器和操作系統(tǒng)：Certbot 支持多種主流的 Web 服務(wù)器，包括 Apache、Nginx、Microsoft IIS 等，并且適用于各種常見的 Linux 發(fā)行版。

3. 自動(dòng)配置和安裝：Certbot 會(huì)自動(dòng)修改服務(wù)器配置文件以啟用 HTTPS，并下載并安裝證書到適當(dāng)?shù)奈恢谩?/p>

4. 證書管理和續(xù)期：Certbot 還提供了自動(dòng)的證書續(xù)期功能，它會(huì)在證書接近到期時(shí)自動(dòng)更新證書，確保您的網(wǎng)站持續(xù)地使用最新的有效證書。

5. 支持插件和擴(kuò)展：Certbot 支持插件系統(tǒng)，使用戶可以擴(kuò)展其功能，包括手動(dòng)模式、DNS 驗(yàn)證插件等，以應(yīng)對(duì)各種不同的配置需求。

6. 交互式操作：Certbot 提供了用戶友好的交互式界面，使證書的獲取和安裝過程更加直觀和簡單。

Certbot 的基本用法：

1. 安裝 Certbot：根據(jù)您的操作系統(tǒng)和服務(wù)器類型，安裝 Certbot 工具。

yum install certbot

查看幫助信息：

certbot -h

默認(rèn)生成了/etc/letsencrypt/目錄，通常不指定位置則下載的證書會(huì)存儲(chǔ)到該目錄下

1. 獲取證書：運(yùn)行 Certbot 命令并選擇合適的插件和驗(yàn)證方式來獲取證書，例如：

• 對(duì)于 Apache 服務(wù)器：sudo certbot --apache

• 對(duì)于 Nginx 服務(wù)器：sudo certbot --nginx

默認(rèn)情況下未安裝apache插件，系統(tǒng)會(huì)報(bào)錯(cuò)：

certbot --apache# Saving debug log to /var/log/letsencrypt/letsencrypt.log# The requested apache plugin does not appear to be installed

yum install python3-certbot-apache

查看還有哪些插件可用：

yum list | grep  python3-certbot

先使用--dry-run模擬獲取

sudo certbot certonly --apache --dry-run--apache 參數(shù)告訴 Certbot 模擬 Apache 環(huán)境。--dry-run 參數(shù)用于模擬測試，以驗(yàn)證證書是否能夠成功獲取，但不會(huì)實(shí)際安裝證書。可以在測試成功后，刪除 --dry-run 參數(shù)以實(shí)際獲取證書。

1. 按照提示進(jìn)行操作：Certbot 將引導(dǎo)您完成證書申請(qǐng)和安裝的流程，包括輸入域名、選擇驗(yàn)證方式等。

2. 驗(yàn)證并安裝證書：Certbot 將自動(dòng)驗(yàn)證您的域名所有權(quán)，并將證書下載并安裝到服務(wù)器上。

3. 自動(dòng)續(xù)期：Certbot 會(huì)自動(dòng)設(shè)置證書的自動(dòng)續(xù)期任務(wù)，并在證書接近到期時(shí)自動(dòng)更新證書。

我這里沒有可用的域名，所以先就不演示結(jié)果了。

使用certbot獲取IIS服務(wù)器安全證書

目前的 Certbot 工具并不直接支持 Microsoft IIS（Internet Information Services）服務(wù)器。但是，您仍然可以使用 Let's Encrypt 來獲取證書，然后手動(dòng)將證書配置到 IIS 服務(wù)器中。

以下是一種常見的方法，您可以按照以下步驟手動(dòng)配置 Let's Encrypt 證書到 IIS 服務(wù)器中：

步驟概述：

1. 在不同的系統(tǒng)上使用 Certbot 獲取證書：使用 Certbot 在支持的系統(tǒng)上獲取 Let's Encrypt 證書（例如，使用 Linux 系統(tǒng)和支持的 Web 服務(wù)器）。

2. 將證書導(dǎo)出為 PFX 格式：將獲取到的證書導(dǎo)出為 PFX 格式，這是 IIS 服務(wù)器所需的證書格式。

3. 將 PFX 證書導(dǎo)入到 IIS 服務(wù)器：手動(dòng)將 PFX 格式的證書導(dǎo)入到 IIS 服務(wù)器中。

具體步驟：

1. 使用支持 Certbot 的系統(tǒng)獲取證書：

• 在支持 Certbot 的系統(tǒng)上，使用 Certbot 獲取 Let's Encrypt 證書。這可能涉及安裝 Certbot、申請(qǐng)證書、驗(yàn)證域名所有權(quán)等步驟。

• 例如，在 Linux 系統(tǒng)上，您可以使用 Certbot 的 Apache 或 Nginx 插件獲取證書，然后將其導(dǎo)出為 PFX 格式。使用以下命令：

  sudo certbot certonly --apache -d example.com

3. 將證書導(dǎo)出為 PFX 格式：

• privkey.pem 是您的私鑰文件

• cert.pem 是您的證書文件

• chain.pem 是證書鏈文件

• 一旦您成功獲取了 Let's Encrypt 證書，在 Linux 系統(tǒng)中找到證書和私鑰文件（通常位于 /etc/letsencrypt/live/your_domain/ 目錄下）。

• 使用 OpenSSL 將證書和私鑰導(dǎo)出為 PFX 格式（PKCS#12 格式），此格式在 Windows/IIS 中通常使用：

  openssl pkcs12 -export -out your_domain.pfx -inkey privkey.pem -in cert.pem -certfile chain.pem

5. 將 PFX 證書導(dǎo)入到 IIS 服務(wù)器：

• 在 Windows 服務(wù)器上，打開 IIS 管理器。

• 找到您的站點(diǎn)，選擇“服務(wù)器證書”功能。

• 導(dǎo)入 PFX 格式的證書并按照向?qū)瓿蓪?dǎo)入步驟。

7. 配置 IIS 網(wǎng)站使用導(dǎo)入的證書：

• 在 IIS 管理器中選擇您的網(wǎng)站。

• 在“綁定”設(shè)置中，選擇 HTTPS 協(xié)議，并選擇您導(dǎo)入的證書。

• 將網(wǎng)站配置為使用新的證書，然后保存更改。

原文地址：https://blog.csdn.net/zrc_xiaoguo/article/details/134847692