https://gethttpsforfree.com/上提供了一个获取free https certificates的办法,他的证书来自于the non-profit certificate authority Let's Encrypt。
You can now get free https certificates from the non-profit certificate authority Let's Encrypt! This is a website that will take you through the manual steps to get your free https certificate so you can make your own website use https! This website is open source and NEVER asks for your private keys. Never trust a website that asks for your private keys!
https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769
用Let's Encrypt获取free https certificates的一些频率限制。
https://letsencrypt.org/certificates/
Let's Encrypt的根证书和中间证书
Cross Signing
Our intermediate “Let’s Encrypt Authority X1” represents a single public/private key pair. The private key of that pair generates the signature for all end-entity certificates (also known as leaf certificates), i.e. the certificates we issue for use on your server.
Our intermediate is signed by ISRG Root X1. However, since we are a very new certificate authority, ISRG Root X1 is not yet trusted in most browsers. In order to be broadly trusted right away, our intermediate is also cross-signed by another certificate authority, IdenTrust, whose root is already trusted in all major browsers. Specifically, IdenTrust has cross-signed our intermediate using their DST Root CA X3.
由于我们是一个很新的CA, ISRG Root X1在大部分浏览器上都不被信任,为了能立刻被广泛信任,我们的中间证书也被另一个CA IdenTrust交叉签名,IdenTrust的root证书已经在所有的主流浏览器上被信任了。明确地讲,IdenTrust 用它们的DST Root CA X3对我们的中间证书进行交叉签名
That means there are two certificates available that both represent our intermediate. One is signed by DST Root CA X3, and the other is signed by ISRG Root X1. The easiest way to distinguish the two is by looking at their Issuer field.
DST Root CA X3的证书
https://www.identrust.com/certificates/trustid/root-download-x3.html
https://www.identrust.com/certificates/trustid/install-miis4.html
a) Copy and paste the contents of the certificate, including the -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- into a text file.
b) Save the file as * certificate.crt on your computer.
注意:证书中不要包含空格,否则导入时会报错。
使用gethttpsforfree.com获取free https certificates的步骤
第一步:输入账户信息。
输入email。
用openssl创建一个RSA的密钥对,导出公钥,输入进去。
注意:用jdk的keytool导出的公钥,填进去总是通不过。考虑到后面的校验部分都是用openssl,所以还是老老实实用openssl来生成密钥对,导出公钥。
点击“Validate Account Info”,如果验证通过,会显示“Looks good! Proceed to Step 2!”。
第二步:输入CSR(Certificate Signing Request)
网页给出的例子是用openssl创建TLS private key,生成CSR。如果你需要用keytool来管理存储在java keystore的证书,情况会有些不同。用keytool生成的CSR的前缀和后缀分别是-----BEGIN NEW CERTIFICATE REQUEST-----和-----END NEW CERTIFICATE REQUEST-----,而用openssl生成的CSR前缀和后缀分别是-----BEGIN CERTIFICATE REQUEST-----和-----END CERTIFICATE REQUEST-----。该网站只接受openssl生成的CSR的格式,所以需要将keytool生成的CSR的前缀和后缀改掉,再复制到网页上对应的文本框中。
点击“Validate CSR”,如果验证通过,会显示“Found domains! Proceed to Step 3! ”
用keytool生成CSR的命令可以参考:
keytool -genkeypair -dname "CN=www.mysite.com" -keyalg RSA -alias mysite -keypass 123456 -keystore my.jks -storepass 123456 -validity 3650
keytool -certreq -keyalg RSA -keystore my.jks -storepass 123456 -alias mysite
第三步:对API请求签名(Sign API Requests)
Let's Encrypt需要你用私钥签名发给他们的所有请求。将网页上的命令复制到第一步生成密钥对的地方,执行后将结果复制到命令下面的文本框中。注意要让命令中的PRIV_KEY指向你的私钥。
点击“Validate Signatures”,如果验证通过,会显示“Step 3 complete! Please proceed to Step 4.”
第四步:验证对域名的所有权(Verify Ownership)
同样要先对命令进行签名。
如果是python server,可以选第一种验证方式,运行命令。
如果是其它服务器,就得选择第二种验证方式,在服务器指定的目录下放一个指定名字和内容的文件。
点击“I’m now serving...”,如果验证通过,会提示“Domain verified!”。
如果CSR中包含多个域名,需要对每个域名都进行验证。
第五步:安装证书(Install Certificate)
Signed Certificate是对CSR的签名,复制下来,保存为文件response.crt,Intermediate Certificate是中间证书,复制下来,保存为文件intermediate.crt;下载DST Root CA X3的证书,保存为root.crt。
依次将root.crt、intermediate.crt和response.crt导入到java keystore中。可以参考下面的命令:
keytool -importcert -alias root -keystore my.jks -trustcacerts -file root.crt
keytool -importcert -alias intermed -keystore my.jks -trustcacerts -file intermediate.crt
keytool -importcert -alias mysite -keystore my.jks -trustcacerts -file response.crt
然后将这个java keystore配置到Tomcat的server.xml,重启Tomcat就可以了。
相关推荐
免费HTTPS证书生成工具,可获取Let’s Encrypt HTTPS证书。
它从由EFF,Mozilla和其他公司发起的开放证书颁发机构Let's Encrypt获取数字证书。 然后,该证书使浏览器可以验证Web服务器的身份,并确保通过Web进行安全的通信。 获取和维护证书通常很麻烦,但是使用Certbot和Let...
ios苹果签名工具含免费证书亲测可用(源代码下载).zip
NULL 博文链接:https://happysoul.iteye.com/blog/2390306
Let’s Encrypt免费SSL证书获取以及自动续签,配合Nginx实测有效
Let's Encrypt免费SSL证书的出现,也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止,Let's Encrypt获得IdenTrust交叉签名,这就是说可以应用且支持包括FireFox、Chrome在内的主流浏览器的兼容和支持,...
SurveillanceStation-x86_64-8.2.7-6222_patch_40为初始自带40个免费证书
但是,一个陷阱是您需要使用他们的命令程序来获取免费证书。 所有默认说明均假定您将以root用户身份在服务器上运行它,并会编辑apache / nginx配置文件。 我非常喜欢Let's Encrypt开发人员,但是我无法信任他们的...
NULL 博文链接:https://happysoul.iteye.com/blog/2390688
它使用非营利性的“证书颁发机构颁发免费证书。 万岁免费证书! 捐 如果该脚本对您有用,请捐赠给EFF。 我不在那儿工作,但是他们做得很棒。 如何使用本网站 转到: : 该网站的工作方式是生成命令供您在终端中...
这里已经获取了一个证书, 只是写一个 (此图片来源于网络,如有侵权,请联系删除! ) 选择申请证书 (此图片来源于网络,如有侵权,请联系删除! ) (此图片来源于网络,如有侵权,请联系删除! ) 上面我已经申请好了...
lets-proxy, 自动获取TLS证书的反向代理,让我们加密 gocoverРусскоязычное описание ниже ( 俄语下方) 。英文描述透明处理https请求的反向代理服务器。 默认情况下,代理处理对端口 443的...
首先我们需要到获取证书,获取证书的方法有许多种,在这我使用了阿里云免费的DV-SSL的证书,这个证书在小网站博客中已经绰绰有余,企业的朋友不建议用此证书。 在填写好所以的信息后,等待一小段时间即可获取到证书...
此实用程序从免费的“Let's Encrypt”证书提供商网络(请参阅“LetsEncrypt.org”)获取数字证书。 它将证书安装在您服务器的本地计算机证书存储中,并将其绑定到 IIS 中的端口 443。 如果当前时间不在当前数字证书...
证书服务商集成:可自由获得TrustAsia、Let’s Encrypt颁发的 免费证书。 支持自动化注册和安装 扩展能力。 证书发现:扫描网站并管理所有发现的证书。 为什么选择KeyManager? 高效便捷 高效便捷的一站式证书...
提供安全便捷的SSL证书申请和管理 AES256位私钥加密存储,守护...证书服务商集成:可自由获得TrustAsia、Let’s Encrypt颁发的 免费证书。 支持自动化注册和安装 扩展能力。 证书发现:扫描网站并管理所有发现的证书。
getssl从letencrypt.org ACME服务器获取SSL证书。 适用于自动化远程服务器上的过程。 从ACME v01升级到ACME v02在getssl.cfg文件中找到以下行:CA =“ getssl从letencrypt.org ACME服务器获取SSL证书,适用于自动化...
免费配置IIS5.0/IIS6.0支持HTTPS IIS5.0 IIS6.0 HTTPS 服务器证书 WINSERVER2003 服务器可以从证书提供商或者自己搭建的证书服务器获取证书。自己可以免费搭建一个https的网站.
Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家...