本文出现的意图
由于公司最近因为IOS版本的升级,开始全面推广https,所有的IOS客户端都要使用ssl证书。公司买了阿里的证书一年要五千多, 感觉还是挺贵的。后来去了解原来还有免费证书这个东西,就想着去捣鼓一下,网上教程很多,标准不一,大致都差不多。由于 每个机器的环境都不一样,导致遇到的情况也是不太一样。对于不少人来说,问题还是挺多的。如果大伙不想自己去配置,可以 下载宝塔的面板来管理网站,它就有一键部署Let's Encrypt 的功能,我在腾讯云下使用宝塔没有出现问题,大家也可以用他来建站。
宝塔官网:点击跳转
配置 Let's Encrypt 免费证书的准备
1、 首先把你的域名解析到这台服务器,这里是多域名配置,那至少解析两个子域名过来啦,我这里解析的是 ssl.huiyanxian.cn , tssl.huiyanxian.cn 切记是A解析啊 2、 首先你要配置好你的java环境,包括jdk,tomcat的安装。我的端口改为了80,具体配置如下(可以不按照我的来配置) <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" /> <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" keystoreFile="生成证书的路径" keystorePass="证书的密码" clientAuth="false" sslProtocol="TLS" /> 3、 因为在安装过程中需要安装不少依赖,因为默认源在国外,导致依赖失败,所以需要先把源改为国内源,大家可以用网易163的源, 或者阿里的,我这里用的是阿里的源,具体更换方法参考我前面的另一片文章 https://blog.huiyanxian.cn/articles/2017/06/15/1497490831833.html 4、 这里是使用的是certbot-auto 来申请证书,python要升级到2.7,centos 6.5 默认的python版本是 2.6.6,升级python参考文章 (https://blog.fazero.me/2016/10/13/centos-update-python/),这里提供了一键脚本,以及把pip升级到了最新。
开始安装
1、 安装 certbot wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto 2、 申请ssl ,因为要验证你的域名是否解析到了你的服务器,会借用你的80/443端口。所以在执行下面语句之前保证80/443 是没有被占用的。我这里只需要关闭tomcat就行。 ./certbot-auto certonly --standalone --email xxxxxx@qq.com -d ssl.huiyanxian.cn -d tssl.huiyanxian.cn 这里是多域名的,想要在添加域名的话继续在后面添加 -d 域名 email后面填写的是你的邮箱 弹出的 两个选项 一个选择同意 A 另外一个选择 Y 就行。 等待到最后出现以下内容说明申请成功 IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/ssl.huiyanxian.cn/fullchain.pem. Your cert will expire on 2017-09-14. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le 说明申请成功,并且存放在了 这个文件下 /etc/letsencrypt/live/ssl.huiyanxian.cn/fullchain.pem 3、 合成tomcat的证书,在 tomcat 底下创建一个文件夹用来存放准备生产的证书(当然也可以自己选择一个目录存放) 我的目录是:/usr/local/tomcat/conf/LetsEncrypt , #进入申请证书的目录,这个目录会以第一个域名明明,不影响多域名使用。 cd /etc/letsencrypt/live/ssl.huiyanxian.cn/ #复制到tomcat刚创建的证书目录下 cp fullchain.pem /usr/local/tomcat/conf/LetsEncrypt cp privkey.pem /usr/local/tomcat/conf/LetsEncrypt #进入到这个目录 cd /usr/local/tomcat/conf/LetsEncrypt/ #生成.p12文件 openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out fullchain_and_key.p12 -name tomcat 这里会被要求设置密码,输入就行(下面用到的:yourPKCS12pass) #生成.jks证书 keytool -importkeystore -deststorepass 'yourJKSpass' -destkeypass 'yourKeyPass' -destkeystore MyDSKeyStore.jks -srckeystore fullchain_and_key.p12 srcstoretype PKCS12 -srcstorepass 'yourPKCS12pass' -alias tomcat 其中 yourPKCS12pass 是上一步中设置的ssl证书密码,这里的yourKeyPass是要设置的keystore密码,可以与yourPKCS12pass一致,下面配置tomcat会用到 4、 配置tomcat <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" /> <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" keystoreFile="/usr/local/tomcat/conf/LetsEncrypt/MyDSKeyStore.jks" keystorePass="证书的密码" clientAuth="false" sslProtocol="TLS" /> 5、 完成,在tomcat创建两个站点,放入一个简单的.jsp文件,可以通过https://ssl.huiyanxian.cn https://tssl.huiyanxian.cn 即可访问。 免费证书只能用三个月,但是可以通过脚本自动更新,后续我会补充相关的自动更新的方法。
参考文献
3、配置生成证书
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于