HTTPS单向认证配置流程(Let's Encrypt生

2017-01-16  本文已影响1792人  丿易小易

1.需要将设备的ip和域名绑定,绑定效果图如下(记得实名认证)

2.登录服务器,安装git(本人服务器版本 centos 7.2)

2.1 yum install git
如发生如下异常

解决方法:
# rm -r /var/run/yum.pid
# rm:是否删除 一般文件 “/var/run/yum.pid”? y
到这里就可以了(下面的命令我没有用,用了报错)
# /sbin/service yum-updatesd restart
停止 yum-updatesd:                                        [确定]
启动 yum-updatesd:                                        [确定]

2.2 git clone https://github.com/letsencrypt/letsencrypt
2.3 cd letsencrypt

3.获取ssl证书

a. 未安装nginx或apache等web服务器(本人的选择)

# ./letsencrypt-auto certonly --standalone --email yiyong_y@163.com -d china-ecar.xyz

b. 安装nginx或apache等web服务器

# ./letsencrypt-auto certonly --standalone --email yiyong_y@163.com -d china-ecar.xyz --webroot-path=/var/www/thing.com
yiyong_y@163.com为你的邮箱,
china-ecar.xyz为待签发的域名,
/var/www/thing.com为web服务器中定义的虚拟主机目录.

执行情况截图

4.查看证书

# cd /etc/letsencrypt/live/
# cd china-ecar.xyz   (为自定义的域名)
fullchain.pem 为证书  privatkey.pem 为密钥

5.免费延期(该证书3个月过期)

./letsencrypt-auto --renew certonly --email yiyong_y@163.com -d china-ecar.xyz

常见问题:

6.HTTPS单向认证服务器构建(tomcat为服务器)

我个人用的是tomcat-8.0.38 ,tomcat-8.5.3支持直接部署.pem文件

在tomcat平级建立文件夹 LetsEncrypt
将/etc/letsencrypt/live/china-car.xyz中的fullchain.pem 为证书  privatkey.pem 为密钥复制到该文件夹下
cp /etc/letsencrypt/live/china-ecar.xyz/fullchain.pem  fullchain.pem
cp /etc/letsencrypt/live/china-ecar.xyz/privkey.pem  privkey.pem
生成.p12文件
openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out fullchain_and_key.p12 -name tomcat
这里会要求设置密码,及下面代码中的'yourPKCS12pass'
.jks证书
keytool -importkeystore -deststorepass 'yourJKSpass' -destkeypass 'yourKeyPass' -destkeystore MyDSKeyStore.jks -srckeystore fullchain_and_key.p12 -srcstoretype PKCS12 -srcstorepass 'yourPKCS12pass' -alias tomcat
其中yourPKCS12pass 是上一步中设置的ssl证书密码,这里的yourKeyPass是要设置的keystore密码,可以与yourPKCS12pass一致,下面配置tomcat会用到

修改tomcat conf/server.xml文件如下

重启服务器

上一篇下一篇

猜你喜欢

热点阅读