let'sencrypt免费证书(lets encrypt证书)

本文目录：

• 1、Let’s Encrypt ssl证书怎么下载？
• 2、Let’s Encrypt介绍
• 3、如何使用Let’s Encrypt永久免费SSL证书

Let’s Encrypt ssl证书怎么下载？

在Let’s Encrypt申请免费SSL证书证书成功之后，就可以获得四个文件，默认会放在这里：

/etc/letsencrypt/live/域名/fullchain.pem

/etc/letsencrypt/live/域名/privkey.pem

/etc/letsencrypt/live/域名/cert.pem

/etc/letsencrypt/live/域名/chain.pem

然后配置apache启动SLL

Ubuntu下启用SSL模块非常简单

$ sudo a2enmod ssl

$ sudo a2ensite default-ssl.conf

$ sudo service apache2 restart

启动成功后，在:/etc/apache2/mods-enabled#中可以查看到ssl.conf配置文件，同时/etc/apache2/的ports.conf中监听443端口。

Apache SSL配置文件default-ssl.conf

virtualhost *:443

ServerName 域名

SSLEngine On

SSLCertificateFile /etc/letsencrypt/live/域名/cert.pem

SSLCertificateKeyFile /etc/letsencrypt/live/域名/privkey.pem

SSLCertificateChainFile /etc/letsencrypt/live/域名/chain.pem FilesMatch “\.(cgi|shtml|phtml|php)$”

SSLOptions +StdEnvVars /FilesMatch

Directory /usr/lib/cgi-bin

SSLOptions +StdEnvVars /Directory

#####其余的和普通的DjangoApache配置一样/virtualhost

http重定向配置文件

virtualhost *:80

ServerName 域名

RewriteEngine on

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://域名%{REQUEST_URI} [R=301,L]/virtualhost

apache打开rewrite

使上述的重定向生效，需要启动apache的rewrite模块。

$ sudo a2enmod rewrite

打开443端口

这里使用的UFW防火墙，所以需要打开443端口

ufw allow 443

重启Aapche服务器

$ sudo service apache2 restart

打开网站就可以看到https。

Let’s Encrypt介绍

【现状】Let’s Encrypt 是一家免费、开放、自动化的证书颁发机构（CA），为公众的利益而运行。它是一项由 Internet Security Research Group（ISRG） 提供的服务。我们以尽可能对用户友好的方式免费提供为网站启用 HTTPS（SSL/TLS）所需的数字证书。这是因为我们想要创建一个更安全，更尊重隐私的 Web 环境。

【为什么要做】任何拥有域名的人都可以使用 Let’s Encrypt 免费获取受信的证书，

CA是Certificate Authority的缩写，也叫“证书授权中心”，就是负责管理和签发证书的第三方机构。

借用网上一位同学的例子：假如你供职于X公司，老板让你去拜访A公司老总谈点业务，此时你直接去可能前台MM给你挡住了，因为没人认识你，那怎么办？你发现C公司跟A公司业务往来密切，你对C公司也熟悉，你就去找C公司的老板给你写了封介绍信并且盖上C公司章，然后你拿着介绍信去A公司，把介绍信给前台MM一看，前台MM一看C公司的章就信任你了，就让你去拜访了。证书就是介绍信，通过盖章的方式来解决信任问题。

简而言之： 发信人对内容进行hash 计算，得到内容摘要（digest）– 发信人对摘要使用私钥加密，生成”数字签名”（signature） – 内容附上数字签名，一起发送。

身份验证过程：

内容 ：含有公钥，及公钥拥有者的身份。

作用 ：1. 证明证书中的公钥 就是信件发送者的的公钥 ； 2. 用通过认证的公钥解密内容

特点：1. 第三方权威机构颁发；2. 具有有效期

数字证书使用 ：

由证书认证机构（CA）对证书申请者真实身份验证之后，用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名后形成的一个数字文件，生成”数字证书”（Digital Certificate）；

A 在发送信件给B的时候，同时附上签名和证书；

B 用CA的公钥解开数字证书，就可以拿到A 的真实公钥了，然后就能证明”数字签名”的是否属A。

前文说到，用数字签名的方式 发送信件也是有一定风险的。比如 公钥被替换，无法知晓公钥的来源或公钥对应的私钥的持有者身份 。于是，数字证书便有了它的作用。

Let’s Encrypt 是一个证书颁发机构（CA）。要从 Let’s Encrypt 获取您网站域名的证书，您必须证明您对域名的实际控制权。您可以在您的 Web 主机上运行使用 ACME 协议 的软件来获取 Let’s Encrypt 证书。

RAS一种非对称加密算法，公钥(PK)加密，私钥(SK)解密，虽然SK是由PK决定的，但是大数分解计算量太大，无法穷举破解，所以被认可。但是随着量子计算的产生，对其安全性将构成威胁， RAS百科

在说明证书制作过程前，先说明制作证书时，用到的几类文件的作用

.key 文件：私钥

.csr 文件：证书签名请求文件，含有公钥信息，certificate signing request的缩

.crt 文件：用.csr 生成的证书文件，certificate的缩写,这就是数字证书

生成自签名根证书。就是模仿证书权威机构的作用，给用户提供一个权威机构的根证书。在真实场景中，根证书是CA认证中心给自己颁发的证书,是信任链的起始点。任何安装CA根证书的服务器都意味着对这个CA认证中心是信任的。是信任链的起始点。任何安装CA根证书的服务器都意味着对这个CA认证中心是信任的。

生成CA 的私钥 openssl genrsa -out ca.key 2048

生成CA 证书请求文件 openssl req -new -key ca.key -out ca.csr

生成CA证书 openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

如何使用Let’s Encrypt永久免费SSL证书

首先，没有永久的SSL证书！，最长时间3年！建议您淘宝Gworg获取正规的证书。

注意：免费SSL证书可能不被chrome、Firefox、UC、苹果等主流浏览器信任，使用前请谨慎。

【let’sencrypt免费证书】的内容来源于互联网，如引用不当，请联系我们修改。