Questions tagged «lets-encrypt»

让我们加密是一个证书颁发机构,它为TLS加密提供免费的X.509证书。

7
如何使用“让我们加密DNS挑战验证”?
让我们加密宣布他们有: 开启了对ACME DNS挑战的支持 如何./letsencrypt-auto使用DNS质询域验证来生成新证书? 编辑 我的意思是:我如何http/https通过使用新宣布的功能(2015-01-20)避免端口绑定,该功能使您可以通过在目标域的DNS区域中添加特定的TXT记录来证明域所有权?
160 lets-encrypt 
2
让我们使用Nginx反向代理进行加密
介绍 我有一台开发服务器(当前正在运行Ubuntu 14.04 LTS),该服务器已经使用了一段时间,用于在不同端口上托管各种开发工具。因为可能很难记住端口,所以我决定对所有服务使用端口80,并根据主机名在内部进行端口转发。 除了编写domain.com:5432,我还可以直接通过sub.domain.com访问它 例如,正在使用sub.domain.com运行的端口7547的应用程序X具有以下nginx配置: upstream sub { server 127.0.0.1:7547; } server { listen 80; server_name sub.domain.com www.sub.domain.com; access_log /var/log/nginx/sub.log combined; location / { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://127.0.0.1:7547; proxy_set_header Authorization ""; } } 问题 给定我选择的当前配置结构,是否可以使用letencrypt并在https下运行不同的服务?
5
SSL和Ngnix:在SSL握手时,服务器在侦听SSL端口时未定义“ ssl_certificate”
我设法用没有错误的LE创建了我的证书,我也设法将流量从端口80重定向到端口443。但是,当我重新加载nginx服务器时,我无法访问我的网站。Ngnix错误日志显示以下行: 4 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking, client: 192.168.0.104, server: 0.0.0.0:443 我认为这意味着它找不到我随后导航到证书路径的证书,而且它们都在那儿,这可能是什么问题?这是我的Ngnix配置的样子: server { listen 80; server_name pumaportal.com www.pumaportal.com; return 301 https://$server_name$request_uri; } server { listen 443 ssl; server_name pumaportal.com www.pumaportal.com; add_header Strict-Transport-Security "max-age=31536000"; ssl_certificate /etc/letsencrypt/live/pumaportal.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/pumaportal.com/privkey.pem; ssl_stapling on; ssl_stapling_verify on; …
5
如何更改管理员电子邮件以进行加密?
当我们开始使用let加密时,用作管理电子邮件的电子邮件地址需要进行修改(以前的员工将其个人电子邮件地址用作管理电子邮件,而他不再在公司工作)。需要采取什么步骤来进行修改(我们可以请前雇员进行确认)。我们需要删除他的个人电子邮件地址,并将其替换为新的电子邮件地址。这将用于密钥恢复操作。无论哪种情况,我都希望删除前雇员的个人电子邮件地址。我需要采取什么步骤来完成此操作(如果我对过程的理解不正确,请指出正确的方向)。提前致谢。
2
为什么不通过DNS记录而不是letencrypt验证自签名证书
我只是想知道。我们使用许多SSL证书。如今,我们几乎只使用letencrypt(谢谢!)。这些证书的底线是,证书上域名的所有权证明来自操纵这些域下的DNS记录或网站的权力。DNS证明来自将一些密钥(由letencrypt提供)作为TXT记录添加到DNS。 因此,如果有足够的证据可以更改域的DNS记录,那么为什么不在DNS中使用带有指纹的自签名证书呢? 我要说的是,此信任与letencrypt(和其他CA)基于DNS的过程完全相同: 创建一个自签名的CA(只需遵循各种操作步骤即可) 为某些域创建证书 使用来自步骤1的CA对来自步骤2的证书进行签名。现在,您具有由不受信任的CA签名的基本证书。 将TXT(或专用)记录添加到每个域的DNS中,说明:我们已使用此CA签署了该域的证书。像:“ CA = -CA的指尖” 浏览器下载证书并通过比较CA的指纹/ CA证书与给定域的DNS中的数据进行验证。 这样就可以创建不受第三方干扰的,与任何基本SSL证书具有相同信任级别的受信任的自签名证书。只要您有权访问DNS,您的证书就有效。甚至可以添加一些DNSSEC(如加密),以从CA加上SOA记录中进行哈希处理,以确保信任因DNS记录的更改而消失。 以前考虑过吗? 耶尔默
1
让我们通过HTTPS加密certbot验证
来自Certbot Webroot插件的文档 webroot插件通过为中的每个您请求的域创建一个临时文件来工作${webroot-path}/.well-known/acme-challenge。 然后,让我们加密验证服务器发出HTTP请求,以验证每个请求域的DNS都解析为运行certbot的服务器。 在私有家用服务器上,我禁用了端口80,即路由器中未启用任何端口转发。我无意开放那个港口。 如何告诉certbot验证服务器不应发出HTTP请求,而是发出HTTPS(端口443)请求来验证域的所有权? 验证服务器甚至不需要验证家庭服务器的证书,因为默认情况下它已经使用HTTP。我可能有一个自签名证书,或者即将更新的证书,但这无关紧要。 目前,我需要启用端口80转发以及服务器上的服务器以创建/续订证书。这不允许我使用cronjob来续订证书。好吧,只要有足够的工作,但我已经有一个监听443的服务器,它也可以完成这项工作。
16 ssl  lets-encrypt 
1
将所有请求重定向到HTTPS(一个子目录除外)
我正在尝试从nginx Web服务器上的自签名证书迁移到“让我们加密”证书。 目前,我将所有请求重定向http/80到https/443,使用我之前创建的自签名证书。 现在-根据我的理解,让我们加密向端口80发出请求(因为我正在使用的webroot选项certbot)。这些请求将被重定向,从而导致证书生成失败。 我尝试通过以下服务器块来实现此目的,监听端口80: server { listen 80; server_name sub.domain.tld; server_tokens off; location /.well-known { root /var/www/letsencrypt; } location / { return 301 https://$host$request_uri; } } 但是无论如何/.well-known都将请求重定向到https/443。 我如何将所有请求从重定向http/80到https/443,除了以外的请求/.well-known/?
3
Certbot letencrypt在不同于443的其他端口上
我想在不同于443的端口上为网络服务器设置certbot。运行时出现以下错误 certbot --apache -d <sub>.<domain>.<ext> 授权过程失败。sub.domain.ext(tls-sni-01):urn:acme:error:connection ::服务器无法连接到客户端以验证域::无法连接到external_ip:443以应对TLS-SNI-01挑战 发生此错误后,我阅读了手册页,在其中找到了以下内容: --tls-sni-01-port TLS_SNI_01_PORT执行tls-sni-01质询的端口号。测试模式下的Boulder默认为5001。(默认:443) 然后,我尝试了以下方法来更正此错误: certbot --apache --tls-sni-01-port 14831 -d <sub>.<domain>.<ext> 添加tls-sni-01-port后,我得到了相同的错误。 是否可以使用其他端口安装证书,或者我做错了什么?
1
Google Chrome认为A +评级仍然不安全
我正在DigitalOcean上配置服务器,尽管我从ssllabs获得了A +评分, https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz 当我连接到我的网站https://www.zandu.biz或https://zandu.biz时,我在Chrome中收到一个不安全的通知。 我该如何解决?
1
使用certbot和DNS挑战续订域名
我使用独立方法为多个域创建了多个SSL证书。我只对证书感兴趣,没有服务器集成。 他们现在要续订。所以,我跑了: certbot -d example.com --manual --preferred-challenges dns certonly 并按照每个域的说明进行操作(为每个域添加所需的DNS条目)。这样,我不必停止服务器并获得新证书。 我对此的(模糊的)理解是,目前没有使用DNS质询自动续订证书的方法。也许您不能为“手动”方法自动续订证书? 无论如何,我写了这个脚本: #!/bin/bash for i in renewal/*;do n=${i:8:-5}; echo $n; # echo "\n" | certbot --text --agree-tos -d $n --manual --preferred-challenges dns --expand --renew-by-default --manual-public-ip-logging-ok certonly; done 此时,renewal目录中的所有域都具有: 验证者=手动 和: pref_challs = dns-01 问题: 现在...当我运行“ certbot更新”时,它会自动更新所有它们,而无需使用我的脚本吗? 我实际上如何使用DNS挑战开始创建新证书?
3
如何获得面向非公开服务器的Let's Encrypt证书?
我有一台专用的Apache服务器,只能从我的LAN上的端口443上通过StartSSL证书访问。 自Firefox 51发布以来,由于已从信任库中删除了StartSSL根证书,因此我无法再连接到它。 我考虑过迁移到“让我们加密”,但是这似乎需要面向公众的HTTP服务器。在我的情况下可以使用“让我们加密”吗? 如果可能的话,我宁愿避免支付SSL证书的费用。
1
在Neo4j中使用LetsEncrypt证书
如何将LetsEncrypt生成的证书文件与Neo4j实例一起使用?LetsEncrypt生成的文件为: 证书 链 全链 私钥 到目前为止,我一直尝试通过OpenSSL进行转换,但没有使用PEM到DER的转换。Neo4j抱怨启动时找不到证书。问题是如何将LetsEncrypt证书转换为Neo4j可以使用的证书。 设置详细信息: 证书/var/lib/neo4j/certificates/以名称neo4j.{cert,key},权限600(由)拥有neo4j:nogroup。所有这些似乎都是根据文档。 在配置中,我有以下这一行来指定证书路径: dbms.directories.certificates=/var/lib/neo4j/certificates 在配置中,我还启用了通过HTTPS的远程访问: dbms.connector.https.address=0.0.0.0:7473 重新启动Neo4j时,出现以下错误消息: WARN Illegal character 0x16 in state=START for buffer HeapByteBuffer@5a260174[p=1,l=193,c=8192,r=192]={\x16<<< SEVERAL_LINES_OF_HEX_JIBBERISH_HERE } WARN badMessage: 400 Illegal character 0x16 for HttpChannelOverHttp@5d682358{r=0,c=false,a=IDLE,uri=-}
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.