企业官网建设流程全解析

榆林市住房和城市建设局网站,WordPress云笔记,广告艺术设计是什么,离石做网站向服务商购买一张常见的 DV 通配符 SSL 证书#xff0c;通常每年价格在数百至一千多元人民币不等#xff1b;若名下有多个域名需要使用证书#xff0c;总费用每年可能达到数千元。在当前强调降本增效的环境下#xff0c;若评估后认为免费证书能够满足需求#xff0c;小公司…向服务商购买一张常见的 DV 通配符 SSL 证书通常每年价格在数百至一千多元人民币不等若名下有多个域名需要使用证书总费用每年可能达到数千元。在当前强调降本增效的环境下若评估后认为免费证书能够满足需求小公司和个人网站即可节省相应成本。Lets Encrypt 简介Lets Encrypt 是一家免费、开放、自动化的公益性证书颁发机构CA由互联网安全研究组ISRG运作属于非营利组织。其目标是推广 HTTPS 的应用为构建更安全、尊重隐私的互联网提供免费而便捷的支持。操作方法根据不同使用环境Lets Encrypt 提供多种验证与获取证书的方式。常用工具是 Certbot详见文档https://eff-certbot.readthedocs.io/en/stable/。在部分环境中可配置工具定期自动续期减少维护工作。由于服务器环境较为老旧且需要将证书上传至阿里云并部署到多个云服务本文暂采用“本地生成证书—手动上传与更新”的方式。0x01 在本地生成证书本文使用 Docker 运行 Certbot参见文档https://eff-certbot.readthedocs.io/en/stable/install.html#alternative-1-docker。生成通配符证书的示例命令如下docker run -it --rm --name certbot \ -v /Users/mazhuang/some/path/letsencrypt:/etc/letsencrypt \ certbot/certbot certonly \ --preferred-challenges dns \ --manual \ --server https://acme-v02.api.letsencrypt.org/directory \ --key-type rsa --rsa-key-size 2048--preferred-challenges dns使用 DNS 方式进行域名验证--manual以交互式方式进行询问与操作--key-type rsa --rsa-key-size 2048生成 2048 位 RSA 私钥部分阿里云服务不支持默认的 ECC 证书。执行后会依次询问邮箱、协议授权、域名等信息随后提示添加 DNS TXT 记录以完成域名所有权验证按提示操作即可。生成成功后证书与私钥保存在挂载的本地目录中例如上述命令中的/Users/mazhuang/some/path/letsencrypt/archive/{domain name}。各文件的说明可参考https://eff-certbot.readthedocs.io/en/stable/using.html#where-certs。0x02 上传和部署证书将证书上传到阿里云的数字证书管理服务。可使用其一键部署功能付费或在各云服务中手动选择使用该证书免费按需取用。0x03 定期更新证书Lets Encrypt 颁发的证书有效期为 90 天建议在到期前 30 天内更新。可重复步骤 0x01 生成新证书然后上传并部署。注意事项部分极为老旧的平台有可能不支持 Lets Encrypt 颁发的证书建议评估后再决定是否使用具体的兼容情况可以参考https://letsencrypt.org/zh-cn/docs/certificate-compatibility/ 。比如我这边就遇到了因为使用的是 JDK 8 的低于 141 的版本部署完证书后发现 xxl-job 定时任务执行器没有注册上报错sun.security.validator.ValidatorException: PKIX path building failed。解决方法下载 ISRG Root X1 证书在这里可以找到 https://letsencrypt.org/certificates/cd /optget https://letsencrypt.org/certs/isrgrootx1.pem导入证书到 JDK 的 cacerts 中keytool -trustcacerts -keystore /opt/jdk/jre/lib/security/cacerts -storepass changeit -noprompt -importcert -alias lets-encrypt-x1 -file /opt/isrgrootx1.pem重启服务小结以上步骤简单、成本为零。对小公司和个人网站而言是节省 SSL 证书费用的可行方案。若环境允许建议配置自动化续期进一步降低维护成本按需采用。参考链接https://letsencrypt.org/zh-cn/https://eff-certbot.readthedocs.io/en/stable/