HTTPS单向认证配置流程(Let's Encrypt生
2017-01-16 本文已影响1792人
丿易小易
1.需要将设备的ip和域名绑定,绑定效果图如下(记得实名认证)
2.登录服务器,安装git(本人服务器版本 centos 7.2)
2.1 yum install git
如发生如下异常
解决方法:
# rm -r /var/run/yum.pid
# rm:是否删除 一般文件 “/var/run/yum.pid”? y
到这里就可以了(下面的命令我没有用,用了报错)
# /sbin/service yum-updatesd restart
停止 yum-updatesd: [确定]
启动 yum-updatesd: [确定]
2.2 git clone https://github.com/letsencrypt/letsencrypt
2.3 cd letsencrypt
3.获取ssl证书
a. 未安装nginx或apache等web服务器(本人的选择)
# ./letsencrypt-auto certonly --standalone --email yiyong_y@163.com -d china-ecar.xyz
b. 安装nginx或apache等web服务器
# ./letsencrypt-auto certonly --standalone --email yiyong_y@163.com -d china-ecar.xyz --webroot-path=/var/www/thing.com
yiyong_y@163.com为你的邮箱,
china-ecar.xyz为待签发的域名,
/var/www/thing.com为web服务器中定义的虚拟主机目录.
执行情况截图
4.查看证书
# cd /etc/letsencrypt/live/
# cd china-ecar.xyz (为自定义的域名)
fullchain.pem 为证书 privatkey.pem 为密钥
5.免费延期(该证书3个月过期)
./letsencrypt-auto --renew certonly --email yiyong_y@163.com -d china-ecar.xyz
常见问题:
6.HTTPS单向认证服务器构建(tomcat为服务器)
我个人用的是tomcat-8.0.38 ,tomcat-8.5.3支持直接部署.pem文件
在tomcat平级建立文件夹 LetsEncrypt
将/etc/letsencrypt/live/china-car.xyz中的fullchain.pem 为证书 privatkey.pem 为密钥复制到该文件夹下
cp /etc/letsencrypt/live/china-ecar.xyz/fullchain.pem fullchain.pem
cp /etc/letsencrypt/live/china-ecar.xyz/privkey.pem privkey.pem
生成.p12文件
openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out fullchain_and_key.p12 -name tomcat
这里会要求设置密码,及下面代码中的'yourPKCS12pass'
.jks证书
keytool -importkeystore -deststorepass 'yourJKSpass' -destkeypass 'yourKeyPass' -destkeystore MyDSKeyStore.jks -srckeystore fullchain_and_key.p12 -srcstoretype PKCS12 -srcstorepass 'yourPKCS12pass' -alias tomcat
其中yourPKCS12pass 是上一步中设置的ssl证书密码,这里的yourKeyPass是要设置的keystore密码,可以与yourPKCS12pass一致,下面配置tomcat会用到
修改tomcat conf/server.xml文件如下
重启服务器