使用OpenSSL生成自签名证书,并通过Let's Encrypt获取浏览器信任的证书

511 阅读3分钟

想让你的网站更安全,并且被浏览器信任?在这篇详细的教程中,我会一步步教你如何在Ubuntu系统上使用OpenSSL生成自签名证书,然后通过Let's Encrypt获取一个让浏览器信任的证书。即使你是新手也不用担心,跟着我来,一步步就能搞定!


步骤1:安装OpenSSL和Certbot

首先,我们需要安装OpenSSL和Certbot。这两个工具是必备的,所以打开终端,输入以下命令:

sudo apt-get update
sudo apt-get install openssl certbot

这两条命令会更新你的软件包列表并安装OpenSSL和Certbot。


步骤2:生成自签名证书

接下来,我们要生成一个自签名证书。首先,进入一个工作目录,比如 /etc/ssl/private

cd /etc/ssl/private

然后运行下面的命令来生成自签名证书:

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout mydomain.key -out mydomain.crt

你会被提示输入一些信息,比如:

  • Country Name (2 letter code) [AU]: 输入两位数的国家代码,比如CN(中国)。
  • State or Province Name (full name) [Some-State]: 输入省份的全名,比如Beijing。
  • Locality Name (eg, city) []: 输入城市名称,比如Beijing。
  • Organization Name (eg, company) [Internet Widgits Pty Ltd]: 输入公司名称。
  • Organizational Unit Name (eg, section) []: 输入部门名称。
  • Common Name (e.g. server FQDN or YOUR name) []: 输入域名,比如yourdomain.com。
  • Email Address []: 输入电子邮件地址。

完成后,你会得到一个私钥文件 mydomain.key 和一个自签名证书 mydomain.crt


步骤3:获取Let's Encrypt证书

接下来,通过Certbot获取Let's Encrypt证书。运行以下命令:

sudo certbot certonly --standalone -d yourdomain.com

Certbot会启动一个临时的Web服务器来进行域名验证。确保你的防火墙允许HTTP和HTTPS流量。


步骤4:配置Apache Web服务器

现在,我们需要配置Apache Web服务器来使用这些证书。首先,进入Apache的站点可用配置文件夹:

cd /etc/apache2/sites-available

然后打开默认配置文件:

sudo nano 000-default.conf

在文件中添加以下内容:

<VirtualHost *:443>
    ServerName yourdomain.com

    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/yourdomain.com/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/yourdomain.com/privkey.pem

    DocumentRoot /var/www/html
</VirtualHost>

保存并关闭文件,按 Ctrl+X,然后按 Y,最后按 Enter

启用SSL模块并重新加载Apache配置:

sudo a2enmod ssl
sudo systemctl restart apache2

步骤5:配置Nginx Web服务器

如果你用的是Nginx,我们也需要进行相应的配置。首先,进入Nginx的站点可用配置文件夹:

cd /etc/nginx/sites-available

然后打开默认配置文件:

sudo nano default

在文件中添加以下内容:

server {
    listen 443 ssl;
    server_name yourdomain.com;

    ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

    location / {
        root /var/www/html;
        index index.html;
    }
}

保存并关闭文件,按 Ctrl+X,然后按 Y,最后按 Enter

重新加载Nginx配置:

sudo systemctl restart nginx

步骤6:设置自动更新

Let's Encrypt证书的有效期只有90天,所以我们需要设置自动更新。首先,测试Certbot的自动更新功能:

sudo certbot renew --dry-run

如果测试成功,我们可以将其添加到cron作业中,这样就能自动更新证书了。编辑crontab文件:

sudo crontab -e

在crontab文件中添加以下行:

0 0 * * * /usr/bin/certbot renew --quiet

这行命令会每天午夜检查并自动更新证书。


总结

通过以上详细步骤,你已经成功使用OpenSSL生成了自签名证书,并通过Let's Encrypt获取了一个让浏览器信任的证书。确保定期更新证书以保持网站的安全性。如果你有任何问题,欢迎在评论区留言。希望这篇教程对你有所帮助!