自简书发布的上篇《生成本地测试用https证书,支持通配符和多域名,初学OpenSSL》以来,本地测试用https用的妥妥的。

线上一直用的腾讯云的免费证书(每个域名都要一个证书(滑稽),今天线上用的通配符证书也搞定了,实现了一个证书包含多个域名(多个泛域名)。

2019-10-8 更新:添加对gethttpsforfree网页中所有RSA签名进行自动签名,提供的自动签名代码在下面。

今年(2018)年初Let’s Encrypt已开放了通配符证书的申请《Wildcard Certificates Coming January 2018》,目前只支持通过dns解析进行验证。没有通配符的证书时在心里感觉用起来会很累,一直没有去尝试。以前AlphaSSL的通配符证书倒是可以免费申请,assl.loovit.net都已经跳转到别的地方了。现在可以勇敢的去用Let’s Encrypt的通配符证书了。

官方并没有简单易用的客户端

申请环境:本地(线上不乱搞),win7+Win32OpenSSL

Let’s Encrypt提供的客户端列表包括开源实现《ACME Client Implementations》,电脑上能装上的基本上都试了一下(捆绑生产环境的软件不鸟),好几个依赖高版本的.Net(勉为其难的装了一下),始终没搞懂怎么耍,入门到放弃。然后用C#调用了一个封装好的接口试了一下,目测工作量也不小,入门到放弃。

Let’s Encrypt 使用吐槽》这里面说的比较赞同的一点这才是你真正需要的 acme-client ,只干申请证书这一件事的脚本。哈哈,其实发现申请证书只是简单的调用几个api.letsencrypt.orgRESTful接口,并且都含有响应头Access-Control-Allow-Origin:*,就不去研究他们的文档了,因为翻了一般官网,并没有发现哪里有这种直接了当的文档。

Let’s Encrypt提供的网页客户端列表中的Get HTTPS for free https://gethttpsforfree.com/就是直接使用的接口,这个网站声称This website is static, so it can be saved and loaded locally. Just right-click and "Save Page As.."! 查看代码确实是一个静态网站。其他几个网页客户端也稍微试了一下,有些要注册还主动帮你管理证书(不鸟)。其实一个静态网页也能够实现证书的申请,还不用下载安装各种环境,比较靠谱。

使用Get HTTPS for free申请证书

地址https://gethttpsforfree.com/

这个页面使用起来很方便,因为该提示的地方都有提示,按照提示做没有压力,顺利申请到了两个域名合在一起的证书。

主要要手动做的事情:

  1. 创建两个秘钥,一个账户秘钥,一个域名证书秘钥(2048位,这个网站写4096位感觉有点大,百度和Let’s Encrypt都是2048位)
  2. 创建证书申请请求
  3. 多次进行文本内容签名(用账户秘钥)

*. 申请好的证书制作成pfx文件导入IIS (我用IIS是要这一步的)

这些步骤都可以用脚本去处理,点一下->复制粘贴,手动也不比自动差(其实也没有便捷的全自动,dns验证还是要手动写入TXT记录)

使用到的脚本

下面这些文件全部是在同一个文件夹里面:

1.创建秘钥.cmd,2.生成请求.ini,2.生成请求.cmd,3.签名.cmd,3.签名.txt,4.导出.cmd

文件名:1.创建秘钥.cmd

@echo off

set /p isSet=创建秘钥会覆盖现有秘钥,确定要创建吗?(y)
if not "%isSet%"=="y" goto end echo 创建账户秘钥
openssl genrsa -out key.account.private 2048
openssl rsa -in key.account.private -pubout -out key.account.public echo 创建证书秘钥
openssl genrsa -out key.domain.key 2048 :end
echo 结束
pause

文件名:2.生成请求.ini

这个文件是OpenSSL安装目录中的配置文件,copy过来改一下名字就行了,然后在文件结尾添加下面内容,域名自己加(泛解析的要把一级域名加上,不加他们会不会自动加不知道,目测不会自动加)

[ ext ]
subjectAltName = @dns [ dns ]
DNS.1 = baidu1.com
DNS.2 = *.baidu1.com
DNS.3 = baidu2.com
DNS.4 = *.baidu2.com

文件名:2.生成请求.cmd

@echo off

set /p isSet=需要先配置域名列表"2.生成请求.ini",配置好了吗?(y)
if not "%isSet%"=="y" goto end echo 生成请求
openssl req -new -sha256 -key key.domain.key -out domain.csr -subj "/" -reqexts ext -config 2.生成请求.ini :end
echo 结束
pause

文件名:3.签名.cmd

@echo off

set /p isSet=需要先写入"3.签名.txt",写好了吗?(y)
if not "%isSet%"=="y" goto end openssl dgst -sha256 -hex -sign key.account.private 3.签名.txt :end
echo 结束
pause

文件名:3.签名.txt

这个文件是一个空文件,到时候有需要签名的数据复制进来运行一下签名.cmd就能快速获得签名。

文件名:4.导出.cmd

@echo off

echo 导出pfx,请输入密码1
pause
openssl pkcs12 -export -out domain.pfx -inkey key.domain.key -in domain.crt :end
echo 结束
pause

申请制作过程

  1. 所有文件准备好后(尤其是2.生成请求.ini把域名配置好),直接运行1.创建秘钥.cmd,然后直接运行2.生成请求.cmd
  2. 把生成的key.account.public填入网页Account Public Key中。
  3. 把生成的domain.csr填入网页Certificate Signing Request中。
  4. 根据网页提示签名请求,每次签名的时候:把文本复制到3.签名.txt(只要引号里面的文本内容,其他内容删除),然后运行3.签名.cmd得到签名,把RSA-SHA256(3.签名.txt)= XXXXX复制到网页对应位置。
  5. 根据提示设置域名dns TXT解析,并完成验证。
  6. 把最后一步生成的证书内容全部复制到新建的文件domain.crt中,域名证书就获取成功啦。
  7. 额外的生成IIS用的pfx文件,运行一下4.导出.cmd设置一下密码就行了,我提示输入1作为密码,是因为我懒(滑稽。

秀一波





自动签名

我使用了 fszlin/certes 来编写了一个C#客户端用来申请多域名证书,但经常操作到最后这个库老是抛出申请错误信息,无奈每次手动用gethttpsforfree都能一次性完成申请。所以我就准备丢弃certes,仅仅使用gethttpsforfree。

但gethttpsforfree每次签名最繁琐的就是RSA签名部分,复制来复制去,由于前段时间在我的H5录音库xiangyuecn/Recorder内实现了一个RSA签名功能,因此直接拿过来给gethttpsforfree安装上了自动签名功能。

我给gethttpsforfree的github把这个功能提交了一个issue(他们家关闭了wiki),作者就来了一句SPAM。哈哈哈,自己好用就好,该做的我都做了,结果我才不管。https://github.com/diafygi/gethttpsforfree/issues/164 里面有详细的自动签名介绍。

自动签名操作步骤:

  1. 打开 https://gethttpsforfree.com/页面。
  2. 复制下面的代码到浏览器控制台里面执行。
  3. 按页面中的正常流程操作,填写好私钥,中途所有签名操作都会自动完成。
(function(){

var privateSign=function(txt){
//Signature
try{
var key=document.querySelector(".privateSignKey").value.replace(/-+.+?PRIVATE.+?-+|\s/g,"");
var byts=Base64.decode(key);
var asn1=ASN1.decode(byts);
if(asn1.sub.length<9){//PKCS#8
asn1=asn1.sub[2].sub[0];
};
var get=function(n){
var item=asn1.sub[n];
var start = item.stream.pos+item.header;
var end = item.stream.pos+item.header+item.length;
var hex = item.stream.hexDump(start, end);
hex=hex.replace(/\s/g,"");
hex=hex.replace(/^00/g,"");//type=02 INTEGER:Remove the highest bit-filled 0x00
return RSA.HexToB64(hex);
};
var n=get(1);
var e=get(2);
var d=get(3); var rsa=RSA(n,e,d);
var sign=rsa.sign(txt,"SHA256");
if(!rsa.verify(txt,sign,"SHA256")){
alert("private key seems to be wrong!");
return "";
};
return RSA.B64ToHex(sign);
}catch(e){
console.error(e);
alert("private key parse error!");
return "";
}
}; var install=function(){
HTMLInputElement.prototype._setAttribute=HTMLInputElement.prototype.setAttribute;
HTMLInputElement.prototype.setAttribute=function(k,v){
var This=this;
This._setAttribute.apply(This,arguments); if(!(k=="placeholder"&&v==RESULT_PLACEHOLDER)){
return;
};
var signExec=function(){
var find=This.parentNode.querySelectorAll("input");
var arr=[];
for(var i=0;i<find.length;i++){
if(find[i].value.indexOf("openssl")+1){
arr.push(find[i]);
};
};
if(arr.length!=1){
alert("no input box for signature was found!");
return;
};
This.value=privateSign(/"(.+)"/.exec(arr[0].value)[1]);
}; setTimeout(signExec,100);
//blur exec
This._setAttribute(k,"blur retry autofill sign. "+v);
if(!This.isBindSignExec){
This.isBindSignExec=true;
This.addEventListener("blur",function(){
if(This.value==""){
signExec();
};
});
};
}; var div=document.createElement("div");
div.innerHTML=`
<div class="field">
<div style="color:#0b1">Account Privete Key (RSA PKCS#1 or PKCS#8) (It's just for signature!):</div>
<textarea class="privateSignKey" placeholder="-----BEGIN RSA PRIVATE KEY----- OR -----BEGIN PRIVATE KEY----- ..."></textarea>
</div>
`;
validate_account.appendChild(div);
}; var script=document.createElement("script");
script.src="https://xiangyuecn.github.io/Recorder/assets/ztest-rsa.js";
script.onload=function(){
setTimeout(function(){
install();
},1000);//emmm... doc was ready
};
document.querySelector("head").appendChild(script); })();

生成线上用https证书,支持通配符和多域名,初学Let’s Encrypt用于IIS,纯本地手动的更多相关文章

  1. 生成本地测试用https证书,支持通配符和多域名,初学OpenSSL

    18-01-26在v2ex上看到一妹纸发的<身为一个 21 岁的年轻程序员,我已经腰突了(躺>,哈哈,感同身受,想到这几天我左腿麻木持续了好几天,前几天屁股疼的只要坐下就站不起来,不过站着 ...

  2. 一个空行引起的阿里云负载均衡上部署https证书的问题

    今天在阿里云上购买了WoSign的https证书,在证书签发后,在控制台下载证书文件,一共有2个文件,一个是.key文件(私钥文件),一个是.pem文件(证书文件). 然后在阿里云负载均衡“证书管理” ...

  3. 在Windows Server 2008上部署免费的https证书

    背景 后web时代,https加密的重要性不言而喻.主流浏览器均对http站点标记不安全,敦促web服务提供商尽快升级至https. 原先的https证书多由各大域名服务商提供,动辄成千上万的部署证书 ...

  4. HTTPS证书申请相关笔记

    申请免费的HTTPS证书相关资料 参考资料: HTTPS 检测 苹果ATS检测 什么是ECC证书? 渠道2: Let's Encrypt 优点 缺点 Let's Encrypt 的是否支持非80,44 ...

  5. 免费靠谱的 Let’s Encrypt 免费 https 证书申请全过程

    申请 Let’s Encrypt证书的原因: 现在阿里云等都有免费的 https 证书,为什么还要申请这个呢(估计也是因为阿里云这些有免费证书的原因,所以 Let’s Encrypt 知道的人其实并不 ...

  6. 在容器服务kubernetes上配置https

    当前容器服务Kubernetes集群支持多种应用访问的形式,最常见形式如SLB:Port,NodeIP:NodePort和域名访问等.但是Kubernetes集群默认不支持HTTPS访问,如果用户希望 ...

  7. https证书申请流程和简介

    HTTPS证书是什么 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安 ...

  8. 网络基础 记一次HTTPS证书验证测试过程

    记一次HTTPS证书验证测试过程 by:授客 QQ:1033553122 实践 1) 安装证书 选择主机A(假设10.202.95.88)上安装https证书 说明:采用https的服务器,必须安装数 ...

  9. Java线上问题排查思路及Linux常用问题分析命令学习

    前言 之前线上有过一两次OOM的问题,但是每次定位问题都有点手足无措的感觉,刚好利用星期天,以测试环境为模版来学习一下Linux常用的几个排查问题的命令. 也可以帮助自己在以后的工作中快速的排查线上问 ...

随机推荐

  1. CSS页面布局常见问题总结

    在前端开发中经常会碰到各种类型布局的网页,这要求我们对css网页布局非常熟悉.其中水平垂直居中布局,多列布局等经常会被使用到,今天就来解决一下css布局方面的问题. 水平垂直居中的几种方法 说到水平垂 ...

  2. nginx 配置简单网站项目(linux下)

    1.新建html2与html3两个网站项目测试,而html是本身就有,记得到/etc/hosts 添加dns记录 2.修改nginx.conf文件 3.测试访问 中间用到一些nginx的命令,就不截图 ...

  3. [20171110]sql语句相同sql_id可以不同吗.txt

    [20171110]sql语句相同sql_id可以不同吗.txt --//提一个问题,就是sql语句相同sql_id可以不同吗?--//使用dbms_shared_pool.markhot就可以做到. ...

  4. 高通 sensor 从native到HAL

    app注册传感器监听 Android Sensor Framework 的整体架构如下图所示: 前几篇sensor相关的文章介绍了sensor的hal的知识,以press_sensor实时显示气压坐标 ...

  5. pt-query-digest详解慢查询日志(转)

    一.简介 pt-query-digest是用于分析mysql慢查询的一个工具,它可以分析binlog.General log.slowlog,也可以通过SHOWPROCESSLIST或者通过tcpdu ...

  6. Ubuntu 12.10 Tty (字符终端) 显示中文,和字体大小设置

    Tty通过修改默认的中文编码字符,和安装zhcon都无法显示中文.可安装fbterm来显示中文,命令:sudo apt-get install fbterm安装即可,进入Tty: (Ctrl+Alt+ ...

  7. npm包开发(whale-makelink)

    whale-makelink是一个npm工具,是强业务的工具,可以将当前工程目录下的项目文件夹,在README中生成项目的链接地址.Demo. 一.npm init 使用npm init生成packa ...

  8. Mysql数据库的加密与解密

    数据加密.解密在安全领域非常重要.对程序员而言,在数据库中以密文方式存储用户密码对入侵者剽窃用户隐私意义重大. 有多种前端加密算法可用于数据加密.解密,下面我向您推荐一种简单的数据库级别的数据加密.解 ...

  9. vue v-for 遍历循环时的key值的报错

    问题如下: [Vue warn] Avoid using non-primitive value as key, use string/number value instead. non-primit ...

  10. 【转】对random_state参数的理解

    转自:https://blog.csdn.net/az9996/article/details/86616668 在学习机器学习的过程中,常常遇到random_state这个参数,下面来简单叙述一下它 ...