精华内容
下载资源
问答
  • Let's Encrypt申请证书及使用

    千次阅读 2019-07-18 13:13:55
    Let's Encrypt是一个免费的、自动的,开放的CA。 形形色色有证书扩展名和类型,我是通过这篇文章明白个大体的:... 参考certify,使用ACMESharp写了一个windows下Let's Encrypt证书申请工具,github...

    Let's Encrypt是一个免费的、自动的,开放的CA。

    形形色色有证书扩展名和类型,我是通过这篇文章明白个大体的:http://www.cnblogs.com/guogangj/p/4118605.html

    一.windows下证书生成。

      1.工具的使用

        参考certify,使用ACMESharp写了一个windows下Let's Encrypt证书申请工具,github地址-》https://github.com/asmrobot/LEGainer

        直接使用的下载地址:http://pan.baidu.com/s/1hsqp12G

        工具比较简单

        第一步:修改LEGainer.exe.config文件中appSettings节的相应信息,并保存。

            Mail是你的联系邮箱

            Domain是你要申请证书的域名

            WebDir是你网站的本地目录,LEGainer在申请证书过程中会在此目录生成文件,Let's Encrypt会通过域名访问生成的文件,所以请确保域名正确解析和绑定。

            CertificateSaveDir是证书申请下来后的保存目录。

            PFXPassword是pfx证书的密码。

        第二步:在域名所在的主机,运行LEGainer.exe。出现“success!~Enter press any key exit!”字样时,证书就生成成功了。

            

            假设你申请证书的域名为:centi.ztimage.com,那么LEGainer会生成如下几个证书文件:

            

            _certificate.der是证书文件,der格式

            _certificate.pem是证书pem格式

            _csr.pem是证书签名请求文件

            _key.pem是私钥文件

            _pkcs12.pfx是iis用的存放证书和私钥的文件

        更新:只用证书文件,在手机浏览器中会报找不到证书链的错误,新版会生成xxxx_chain.pem,为证书链nginx中尽量配置证书链证书。

            

      2.nginx的证书使用

        在server配置中只需要加入

        listen 443 ssl;
        ssl_certificate path\to\centi.ztimage.com_certificate.pem;

        ssl_certificate_key path\to\centi.ztimage.com_key.pem;

        重新加载配置即可

        nginx -s reload

     

      3.自动续约

        Let's Encrypt申请的证书有效期是三个月,为了不让证书失效,可以写个计划任务,每个月月初自动执行一次证书申请。

        新建Gainer.bat,输入以下内容

        path\to\Gainer.exe

        path\to\nginx.exe -s reload

        

        以管理员身份运行:schtasks /create /tn "letsencrypt_https" /tr path\to\Gainer.bat /sc monthly   /ru System

        以后就会每个月申请一次新的证书,schtasks的介绍可以看这里:http://www.cnblogs.com/lostyue/archive/2011/10/24/2223166.html

        不想写命令也可以手动操作-》控制面板-》管理程序-》任务计划程序 ,将Gainer.bat加入到任务计划中

     

    Certify SSL Manager manage free https certificates for IIS

    download:https://certifytheweb.com/

    Summary Screenshot

    展开全文
  • 2、Let’s Encrypt证书 3、还有其他的…(目前我不知道了) 二、Let’s Encrypt Let’s Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、Id...

    一、获取https证书的途径

    • 1、服务提供方(如国内的阿里云、腾讯云等等都可以申请免费或者收费的https证书)
    • 2、Let’s Encrypt证书
    • 3、还有其他的…(目前我不知道了)

    二、Let’s Encrypt

    • Let’s Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。
    • 详情可去Let’s Encrypt官网介绍Let’s Encrypt官网介绍

    三、使用Let’s Encrypt生成https证书

    • 1、使用git下载项目,运行生产证书
     git clone https://github.com/certbot/certbot
    cd certbot
    ./certbot-auto certonly --standalone --email xxx@qq.com -d www.abc.com -d mall.abc.com
     
    
    • 2、certbot-auto命令介绍生成证书的命令,–email是你的域名联系人邮箱地址,-d是你要生的哪个域名地址的证书,可同时生成多个域名证书,就是多个-d;生成过程有提示的话agree和yes即可。
    • 3、此步生成证书可能的异常
    Plugins selected: Authenticator standalone, Installer None
    	Obtaining a new certificate
    	Performing the following challenges:
    	http-01 challenge for xxxx.xxxx.com
    	Cleaning up challenges
    	Problem binding to port 80: Could not bind to IPv4 or IPv6.
    
    • 4、这个异常报的就是80端口被占用,因为我是开着Nginx的,Nginx端口就是80,我关了之后就好了(如果被占用,是生成不了证书文件的)。
    • 5、查看生成的文件,生成的证书位于/etc/letsencrypt/下;live文件夹里面有证书文件
      cert.pem - Apache服务器端证书 chain.pem - Apache根证书和中继证书 fullchain.pem - Nginx所需要ssl_certificate文件 privkey.pem - 安全证书KEY文件
    • 6、配置Nginx使https生效,配置在server下面。
    server
    	{
    	    listen 443 ssl;
    	    server_name abc.com;
    	    ssl_certificate      /etc/letsencrypt/live/abc.com/fullchain.pem;
    	    ssl_certificate_key  /etc/letsencrypt/live/abc.com/privkey.pem;
    	    location / {
    
    • 7、重启Nginx就可以用https访问了。
    • 8、续期问题:Let’s Encrypt证书是有效期90天的,需要我们自己手工更新续期才可以。
      命令例子:
    ./letsencrypt-auto certonly --renew-by-default --email xxx@qq.com -d abc.com -d mall.abc.com
    

    这样又可以继续使用90天。

    四、其他

    • 报错 Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. You may need to use an authenticator plugin that can do challenges over DNS.
    • 我在生成泛域名的时候遇到这个错,命令格式应该是:
    • ./certbot-auto certonly --email 1057421xx@qq.com -d *.xxx.com --preferred-challenges dns --manual
    • 或者 ./certbot-auto certonly --preferred-challenges dns --manual -d *.xxx.com --server https://acme-v02.api.letsencrypt.org/directory
    • 途中会出现txt值
    Are you OK with your IP being logged?
    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    (Y)es/(N)o: Y
    
    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    Please deploy a DNS TXT record under the name
    _acme-challenge.xxx.com with the following value:
    
    xxxxjQYXG3lDlg
    
    Before continuing, verify the record is deployed.
    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    
    

    注意要dns验证加入txt值

    该方法可能对某些机器上已失效,如果失效请移步下篇 使用certbot生成https证书 更新于2021年6月29日09:42:56

    展开全文
  • 最近在自己测试自己部署的 https(Let’s encrypt 免费证书),发现请求很慢,有10多秒甚至...苹果系统的浏览器打开SSL网站时将对证书的状态进行验证,当在验证证书状态时,请求了被劫持的Let’s Encrypt证书状态检查(O

    最近在自己测试自己部署的 https(Let’s encrypt 免费证书),发现请求很慢,有10多秒甚至20秒的延迟。
    而请求 http 很快,改 ios 的 DNS 也没用。Android 和 Windows 上都没有这个现象。

    原因

    因为LE证书的吊销状态检查域名(ocsp.int-x3.letsencrypt.org 以及相关CName或Alias)在大陆受到劫持引起。苹果系统的浏览器打开SSL网站时将对证书的状态进行验证,当在验证证书状态时,请求了被劫持的Let’s Encrypt证书状态检查(OCSP)的服务器,而该服务器为不可使用状态或有很长延时,从而导致打开网站延时。

    由于证书状态检查由苹果的浏览器(UIWebView, WKWebView、Safari)发起,而Chrome在访问SSL网站时并不进行这一项检查,所以大部分用户在Chrome中访问正常,只有在苹果系统中访问出现延时。

    解决办法1

    换证书

    解决办法2

    在服务器上配置OCSP(SSL Stapling)功能(OCSP是用于在线查询证书吊销情况的服务),然后强制让浏览器使用服务器提供的OCSP状态,而不是由浏览器去检查。目前Apache2.4和Nginx1.6以上的系统均支持该项配置。

    第一步:修改服务器的hosts文件,解析正确的 ocsp.int-x3.letsencrypt.org 域名IP

    修改服务器的hosts文件,把 Let’s Encrypt 的OCSP服务器进行正确的解析。目前 ocsp.int-x3.letsencrypt.org 正常的服务器IP有:

    23.44.51.8 (美国)
    23.44.51.27 (美国)
    104.109.129.57 (英国)  
    104.109.129.11 (英国)
    175.45.42.209 (香港)
    175.45.42.218 (香港)
    223.119.50.201(香港)
    223.119.50.203(香港)
    23.32.3.72(东京)
    

    我试了下,175.45.42.21 最快,也没有丢包。

    可以在hosts文件中加入:

    175.45.42.218   ocsp.int-x3.letsencrypt.org
    

    保存即可!

    附:hosts文件路径:

    • Windows(以管理员身份运行记事本,然后打开): C:\windows\system32\drivers\etc\hosts
    • Linux/Unix/Mac Server(必须先切换到超管): /etc/hosts
    • 华硕梅林固件修改 host 的方法:

    在 /jffs/ 目录下创建一个名为 dnsmasq.conf.add 的文件

    vi /jffs/dnsmasq.conf.add\
    

    加入内容 addn-hosts=/jffs/configs/hosts 并且保存

    进入 /jffs/configs,创建一个名为 hosts 的文件

    vi /jffs/configs/hosts
    

    在该文件中加入自定义域名解析,比如 175.45.42.218 ocsp.int-x3.letsencrypt.org,并且保存

    第二步:在Apache和Nginx中启用 OCSP 功能

    apache
    修改全局SSL配置(注意部分服务器要求这两项配置的路径在同一目录):

    SSLSessionCache        "shmcb:conf/ssl_scache(512000)"
    SSLStaplingCache "shmcb:conf/ssl_stapling(512000)"
    SSLUseStapling On
    

    nginx

    修改SSL配置:

    ssl_stapling on;
    ssl_stapling_verify on;
    

    第三步:重启 apache 或 nginx 即可!

    最后可以用 https://www.getssl.cn/ocsp 来检测是否生效,如下图
    在这里插入图片描述

    参考
    https://easy.zhetao.com/easy-https-lets-encrypt-content-233?_verip_csrf_token_name=null

    展开全文
  • Let's Encrypt 大家都应该不陌生,具体生成方法和配置网上介绍较多,知道的同学应该不陌生,不知道的同学可能也用不到,这里不再做科普,本文主要说明,在大家使用类似: certbot certonly --email example@...

    Let's Encrypt 大家都应该不陌生,具体生成方法和配置网上介绍较多,知道的同学应该不陌生,不知道的同学可能也用不到,这里不再做科普,本文主要说明,在大家使用类似:

        certbot certonly --email example@example.com --agree-tos --no-eff-email --webroot -w /path/website -d www.example.com

    • example@example.com和www.example.com分别替换为你的邮箱和域名
    • /path/website 替换为你的web服务的路径

      命令的时候,总是报验证错误的情况下,提供一个新的思路,帮助大家解决问题。

    Let's Encrypt 的运作方式,大家可以参考:

    https://letsencrypt.org/zh-cn/how-it-works/

    建议大家抽时间看下,如果看不懂也没有关系,概言之就是:

    Let’s Encrypt CA 会在example.com 站点的指定路径上创建了一个文件,CA 尝试从 Web 服务器下载该文件,并验证example.com 上一次性数字签名。如果 一次性数字签名有效,并且验证也成功完成,那么由公钥代表的证书管理软件将被授权对 example.com 进行证书管理。

    在实际操作过程中,就是由于各种原因导致无法进行验证数字签名导致证书申请失败。

    下面我们来进行证书申请:

    首先我们使用向导模式进行配置:

        ./letsencrypt-auto certonly
        ./letsencrypt-auto has insecure permissions!
        To learn how to fix them, visit https://community.letsencrypt.org/t/certbot-auto-deployment-best-practices/91979/
        Saving debug log to /var/log/letsencrypt/letsencrypt.log
        
        How would you like to authenticate with the ACME CA?
        - - - - - - - - - - - - - - - - - - - - - - - - - - - 
        1: Spin up a temporary webserver (standalone)
        2: Place files in webroot directory (webroot)
        - - - - - - - - - - - - - - - - - - - - - - - - - - - 

    在这里,我看到有2个选项,其中第二项就是我们常用的,和以下命令的效果相同:

    certbot certonly --email example@example.com --agree-tos --no-eff-email --webroot -w /path/website -d www.example.com

    在这里我们使用第一项:运行独立的 web server 来验证:

    输入我们需要生成SSL证书的域名。

        Plugins selected: Authenticator standalone, Installer None
        Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c'
        to cancel): www.example.com
        Obtaining a new certificate
        Performing the following challenges:
        http-01 challenge for www.example.com
        Waiting for verification...
        Cleaning up challenges
        
        IMPORTANT NOTES:
         - Congratulations! Your certificate and chain have been saved at:
           /etc/letsencrypt/live/www.example.com/fullchain.pem
           Your key file has been saved at:
           /etc/letsencrypt/live/www.example.com/privkey.pem
           Your cert will expire on 2020-06-22. To obtain a new or tweaked
           version of this certificate in the future, simply run
           letsencrypt-auto again. To non-interactively renew *all* of your
           certificates, run "letsencrypt-auto renew"
         - If you like Certbot, please consider supporting our work by:
        
           Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
           Donating to EFF:                    https://eff.org/donate-le

    如上,证书文件已经生成。保存在:/etc/letsencrypt/live目录下以域名命名的子目录下。
    我们进入到此目录下,有以下文件:

        └── www.example.com
            ├── cert.pem -> ../../archive/www.example.com/cert1.pem
            ├── chain.pem -> ../../archive/www.example.com/chain1.pem
            ├── fullchain.pem -> ../../archive/www.example.com/fullchain1.pem
            ├── privkey.pem -> ../../archive/www.example.com/privkey1.pem
            └── README
    各个文件含义如下:

        cert.pem: 我们的域名证书
        chain.pem: Let’s Encrypt证书链
        fullchain.pem: cert.pem加上chain.pem
        privkey.pem: 证书的专有密钥

     

    至此,Let’s Encrypt的证书,已经生成完毕,部署到我们的Nginx或者Tomcat等WEB容器,就可以薅Let’s Encrypt的羊毛了。

     

    最后有几点备注下:

    1、版本

    ./certbot-auto  --version
    Requesting to rerun ./certbot-auto with root privileges...
    ./certbot-auto has insecure permissions!
    To learn how to fix them, visit https://community.letsencrypt.org/t/certbot-auto-deployment-best-practices/91979/
    certbot 1.3.0

    2、权限

    certbot-auto需要使用root权限,需要su或者root用户执行操作。

    展开全文
  • 苹果设备在首次访问由Let's Encrypt颁发证书的网站时,会非常的缓慢。这是因为IOS和MAC系统会默认进行OCSP实时查询,以保证证书是否被吊销。由于Let's Encrypt的OSCP域名在国内被墙,导致访问国内访问非常缓慢。那么...
  • Nginx 和 Httpd 配置证书Let’s Encrypt) 前言 苹果宣布 2017 年 App Store 中的所用应用都必须使用 HTTPS 加密连接; 百度、Google 等搜索引擎优先收录 HTTPS 页面并提升排名; 英美强制要求所有政府网站 ...
  • 苹果企业证书申请停止Data science certificates are ubiquitous. There is a high and increasing demand for them so a new one is released in no time. There are a few reasons why there exists a rich ...
  • Nginx 和 Httpd 配置证书Let’s Encrypt) 前言 苹果宣布 2017 年 App Store 中的所用应用都必须使用 HTTPS 加密连接; 百度、Google 等搜索引擎优先收录 HTTPS 页面并提升排名; 英美强制要求所有政府网站 ...
  • 苹果官网证书文件,待研究 http://www.apple.com/certificateauthority/ 导读:MDM 证书申请流程(vendor及customer)整个流程分为两部分:vendor、customer 一、申请Vendor 1、成为一个 MDM Vendor (1...
  • 在iOS上以前暂时屏蔽https使用http的接口,将在未来被苹果拒绝; 之前传苹果会在2017年1月1日强制要求支持https,但是现在苹果又延迟该计划了 ...苹果ATS检测 在mac下使用命令:nscurl--ats-diagnostics--ver...
  • 一、参考链接 1. HTTP 协议入门, by 阮一峰2. HTTPS 升级指南, by 阮一峰3. let encrypt, getting start4. certbot5. SSL Server Test 二、环境 a. operation systeam: ubuntu16.04b. proxy server: nginx1.1...
  • 从16年起,苹果公司就要求开发者使用https替代http,前期还可以通过调整应用的配置允许http通信,到后来使用https成了强制要求。 对于个人开发者和小公司而言,很多时候不过是在服务器进行一些简单的数据、文件存储...
  • SSL证书类型 第一次选购 SSL证书,你一定很迷茫,需要考虑的因素很多:是否支持多域名、泛域名,价格,信息泄露的保额,国内的厂商还是国外的,甚至是证书在浏览器上显示的小图标样式等等。 1)我们首先来看下...
  • 他们的产品将否决在 9 月 1 日或之后发行的期限超过 398 天的证书的有效性。9 月 1 日之前颁发的证书将具有与今天的证书相同的可接受期限,即 825 天,从而无需对这些证书采取任...
  • NSURLErrorDomain Code=-1202 ... let card = URLCredential.init(trust: challenge.protectionSpace.serverTrust!)  completionHandler(URLSession.AuthChallengeDisposition.useCredential,card)  }  } #endif
  • 谷歌从 2017 年起,Chrome 浏览器...苹果从 2017 年 iOS App 将强制使用 HTTPS;在国内热火朝天的小程序也要求必须使用 HTTPS 请求。想想我原本好好的一个个人博客,因为没有部署 HTTPS,顶着个「不安全」的红帽子……
  • 昨天测试开发微信小程序,才发现微信也要求用HTTPS加密数据,想来是由于之前苹果的ATS审核政策的缘故吧,微信想在苹果上开放小程序必然也只能要求开发者必须使用HTTPS了,于是在服务器上测试安装Nginx+HTTPS服务。...
  • Uniapp苹果登录

    2021-04-21 10:45:25
    2.申请苹果登录的证书文件 3.点击事件 // 苹果登录 getApple() { uni.login({ provider: 'apple', success: (loginRes) => { uni.getUserInfo({ provider: 'apple', success: (res) => { ...
  • 玩转苹果自带支付

    万次阅读 2016-05-15 08:11:39
    2.接下来,前往选择证书菜单,并创建一个新的苹果支付证书。这需要向苹果公司上传证书签名请求(CSR)。当你注册一个支付处理,他们通常会为你提供一个CSR使用。你可以使用CSR通过这个指导生成自己私有的证书,但你...
  • [开发证书] Apple PKI

    2020-08-28 20:28:15
    苹果公司建立了Apple PKI,以支持CA签名的X.509证书中包含的公共/私有密码密钥的生成,发行,分发,吊销,管理和管理。 苹果证书 苹果公司根证书 苹果计算机公司根证书 Apple Root CA-G2...
  • 最近炒的火热的Let's Encrypt免费CA服务提供商,刚好趁着苹果强制ATS的东风横空出世,得益于Mozilla的支持将免费SSL证书全民普及的概念广而告之,自从去年沃通的免费证书关停等等一系列免费的ssl证书被停止服务,...
  • 服务器搭建苹果ipa包在线安装环境

    千次阅读 2019-02-25 11:55:34
    类似蒲公英的苹果应用在线安装环境,能方便小团队开发分发测试包。 我们利用自己的服务器搭建一个这样的服务。...关于如果在个人服务器部署Https免费证书,可移步小生另一博文:Let’s Encrypt部署Https证书 .ipa安...
  • 苹果推送通知办事教程 Apple Push&nb

    千次阅读 2014-03-17 12:19:10
    原文地址:Apple Push Notification Services Tutorial" style="text-decoration:none; color:rgb(82,102,115)">(转)苹果推送通知办事教程 Apple Push Notification Services Tutorial作者:浪友dans ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,596
精华内容 638
关键字:

let证书苹果