Subdominio Nginxssl

Este blog se centra en la solicitud de un certificado de todo dominio (tres meses) y la conversión del formato del certificado después de la solicitud. El certificado solicitado sólo tiene una validez de tres meses y puede renovarse al vencimiento. Un certificado de nombre de dominio universal contendrá un nombre de dominio principal y todos sus dominios de segundo nivel, o todos los subdominios de tercer nivel correspondientes a un nombre de dominio de segundo nivel, como ejemplo.com y ejemplo.com o xxx.ejemplo.com. y .XXX . ejemplo .com ..

Si solo desea un certificado de nombre de dominio único, puede elegir el servicio de certificado proporcionado por Huawei o Alibaba (1 año). Tome a Huawei como ejemplo: en Gestión de certificados - Tipo de certificado de compra (DV Basic) - Marca de certificado (Digcert) - Tipo de certificado (Certificado de nombre de dominio único); luego haga clic en "Solicitar certificado" en la lista de certificados para vincular su nombre de dominio; Durante el proceso de vinculación, se debe agregar un registro de análisis TXT para verificar la propiedad del nombre de dominio. La aplicación del nombre de dominio único no se presentará en detalle aquí.

Busque un host del sistema Linux y ejecútelo en él:

Este script requiere acceso a github. Debido a razones de red doméstica, pueden ser necesarias varias ejecuciones para tener éxito hasta que aparezca el resultado de la ejecución, como se muestra en la siguiente figura:

Después de la instalación, ejecute el siguiente script para solicitar un certificado:

Después de la ejecución, obtendrá dos valores TXT de dominio, agréguelos a la resolución TXT de su nombre de dominio.

Después de agregar dos análisis TXT, ejecute el script acme.sh nuevamente, esta vez agregando el parámetro -renew después del script:

El certificado completo se coloca en el directorio ~/. acme.sh /example.com/:

Una vez completada la solicitud, configure el certificado para el servicio nginx:

Configure la habilitación SSL en nginx.conf

Este suele ser el caso en el trabajo. Encontré dos certificados: jks y pem/crt. Jks es la abreviatura de JAVA KeyStore, que puede reconocerse mediante certificados como java/tomcat. Pem/crt es el certificado reconocido para apache, nginx y openssl. Muchas veces es necesario convertir entre dos formatos.

Necesitas usar epenssl y la herramienta keytool que viene con java:

Example.com.jks es el certificado que queremos que pueda ser reconocido directamente por java~

Agregue el párrafo anterior a jks2crt.sh y otorgue permisos de ejecución chmod x jks2crt.sh

. /jks 2 CRT .sh[ruta del certificado][contraseña personalizada del certificado]

Otros formatos de certificado

PEM: correo electrónico con privacidad mejorada, ábralo para ver el formato de texto, use “–comenzar…” Comience con "-fin...". El contenido está codificado en BASE64, pero Nginx y Apache prefieren usarlo.

der: distingue las reglas de codificación. Cuando se abre, está en formato binario y es ilegible. Java y Windows prefieren usarlo.

CRT – CRT deben ser las tres letras del certificado, que en realidad significa certificado. Comúnmente encontrado en sistemas tipo UNIX, puede estar codificado en PEM o DER. La mayoría de ellos deben estar codificados en PEM y ser legibles (cat).

CER - o certificado, o certificado, es común en los sistemas Windows. También puede ser un código PEM o un código DER, y la mayoría de ellos deberían ser códigos DER.