免费SSL证书Let’s Encrypt安装使用教程:Apache和Nginx配置SSL

SSL   2015年12月11日 17:33  

免费SSL证书Let's Encrypt安装使用教程:Apache和Nginx配置方法

Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,它的来头不小,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS,目前Facebook等大公司开始加入赞助行列。

Let's Encrypt已经得了 IdenTrust 的交叉签名,这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任,你只需要在Web 服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let's Encrypt安装简单,未来大规模采用可能性非常大。

Let's Encrypt虽然还在测试当中,但是市场需求非常大,已经有非常多的朋友迫不及待地安装并用上了Let's Encrypt。Let's Encrypt向广大的网站提供免费SSL证书,不管是对于网站站长、互联网用户,还是对整个Web互联网,都是非常有利的,它有利于整个互联网的安全。

本篇文章就来为大家讲解一下如何获取Let's Encrypt免费SSL证书,并附上Apache和Nginx的SSL证书配置方法。更多的免费SSL证书及SSL配置安装教程,可以看:

免费SSL证书Let's Encrypt安装使用教程:Apache和Nginx配置方法

PS:20170208更新,感谢热心朋友的反馈,Let’s Encrypt官网推荐大家使用Certbot来安装,参考如下(详细图文过程:Aimer):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
问题已经解决了,用的是Certbot,我把我的方法贴一下:
首先要说明一下几点:
1.存在一个已经建立的虚拟主机
2.我用的是oneinstack
3.Python的版本是2.7以下(如果是2.7以上SSL证书会自动安装,不用手动的)
4.使用Certbot脚本
————-分界线————————————–
过程:
1.去Certbot的官网找到与web环境相应的脚本(官网qi姐已经贴出来了)
2.按照官网的步骤来:(这是CentOS6 ,Nginx的脚本,不要直接复制哦,要按照自己的情况来)
# wget https://dl.eff.org/certbot-auto
# chmod a+x certbot-auto
$ ./certbot-auto
——————-分界线———————–
然后Python版本低于2.7的服务器就会出现问题了
Certbot会报错,代码如下:
Installing Python packages…
Installation succeeded.
/root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
DeprecationWarning
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Failed to find apachectl in PATH: /usr/local/nginx/sbin:/usr/local/php/bin:/usr/local/mysql/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/main.py:568: DeprecationWarning: BaseException.message has been deprecated as of Python 2.6
return e.message
Certbot doesn’t know how to automatically configure the web server on this system. However, it can still get a certificate for you. Please run “certbot-auto certonly” to do so. You’ll need to manually configure your web server to use the resulting certificate.
——————-分界线————————–
我们不用管它,因为他说了,你可以手动安装SSL,那我们就手动安装
——————-分界线——————————
输入命令:
# ./certbot-auto certonly
然后它依旧会报错,那我们依旧不管他
继续进行命令,因为我们是手动配置
——————–分界线——————————–
再输入上面的命令以后,会出现选项,一个是独立服务器,一个是web服务
我们选择1,web服务
它会要求我们输入email(可以不输入),那我们输入email
———————–分界线—————————–
接下来它会要求我们输入域名
输入域名
————————分界线—————————
然后它会要求我们给出域名所在的根目录
用的oneinstack的话就输入
/data/wwwroot/你的域名
————————-分界线———————–
返回如下代码,获得SSL 证书:
IMPORTANT NOTES:
– Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/ex.acgbuster.com/fullchain.pem. Your cert
will expire on 2017-05-02. To obtain a new or tweaked version of
this certificate in the future, simply run certbot-auto again. To
non-interactively renew *all* of your certificates, run
“certbot-auto renew”
– If you like Certbot, please consider supporting our work by: 
 
Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF:
————————–分界线——————————-

一、 安装Let's Encrypt免费SSL准备

1、Let's Encrypt官网:

  • 1、官方网站:https://letsencrypt.org/
  • 2、项目主页:https://github.com/letsencrypt/letsencrypt

2、安装Let's Encrypt脚本依赖环境:(这一部分可以跳过,因为官方提供的Let's Encrypt脚本会自动检测并安装)


# Debian
apt-get install git

# CentOS 6
yum install centos-release-SCL && yum update
yum install python27
scl enable python27 bash
yum install python27-python-devel python27-python-setuptools python27-python-tools python27-python-virtualenv
yum install augeas-libs dialog gcc libffi-devel openssl-devel python-devel
yum install python-argparse

# CentOS 7
yum install -y git python27
yum install -y augeas-libs dialog gcc libffi-devel openssl-devel python-devel
yum install python-argparse

3、查看自己的VPS主机到底是安装了哪个操作系统版本,可以执行命令:cat /etc/issue 或者 cat /etc/redhat-release。

Let's Encrypt安装的操作系统

二、获取Let's Encrypt免费SSL证书

1、获取Let's Encrypt免费SSL证书很简单,你只需要执行以下命令,就会自动在你的VPS上生成SSL证书和私钥。


git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto

2、经过部落测试,上述代码对于Debian系统支持最好,可以完成自动检测并安装相应的软件。如果你是使用其它的Linux系统,Redhat或CentOS 6可能需要配置EPEL软件源,Python需要2.7版本以上。

Let's Encrypt安装方法

3、执行上述命令后,会弹出对话框,同意用户协议。

Let's Encrypt同意用户协议

4、接着会提示让你关闭Nginx或者Apache。

Let's Encrypt关闭Nginx

5、Let's Encrypt需要用到80和443端口,所以你需要关闭那些占用这两个端口的应用。

Let's Encrypt占用80端口

6、当你看以下内容时,就表明你的Let's Encrypt免费SSL证书获取成功了。


IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/freehao123.org/fullchain.pem. Your cert will
   expire on 2016-03-09. To obtain a new version of the certificate in
   the future, simply run  again.
 - If like , please consider supporting our work by:

   Donating to ISRG / :   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

7、见下图:

Let's Encrypt获取SSL证书成功

三、利用脚本快速获取Let's Encrypt SSL证书

1、嫌上面的麻烦,不妨来试试利用脚本快速获取Let's Encrypt SSL证书,调用 acme_tiny.py 认证、获取、更新证书,不需要额外的依赖。

  • 1、项目主页:https://github.com/xdtianyu/scripts/tree/master/lets-encrypt

2、下载到本地:


wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.conf
wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.sh
chmod +x letsencrypt.sh

Let's Encrypt下载脚本

3、配置文件。只需要修改 DOMAIN_KEY DOMAIN_DIR DOMAINS 为你自己的信息


ACCOUNT_KEY="letsencrypt-account.key"
DOMAIN_KEY="freehao123.com.key"
DOMAIN_DIR="/var/www/freehao123.com"
DOMAINS="DNS:freehao123.com,DNS:www.freehao123.com"

4、本脚本在Debian下运行正常,但是如果你使用的是CentOS,你还需要修改letsencrypt.sh中openssl.cnf的位置,先找到你的CentOS的openssl.cnf位置。然后打开letsencrypt.sh,将路径/etc/ssl/openssl.cnf替换为你的新路径,例如/etc/pki/tls/openssl.cnf。

PS:20151214更新,该脚本已经更新,现在不需要对CentOS的openssl.cnf进行修改了。感谢ty博主的提醒。

Let's Encrypt配置脚本

5、执行过程中会自动生成需要的 key 文件。运行:


./letsencrypt.sh letsencrypt.conf

6、注意需要已经绑定域名到 /var/www/www.freehao123.com 目录,即通过 http://freehao123.com https://www.freehao123.com 可以访问到 /var/www/freehao123.com目录,用于域名的验证。

Let's Encrypt生成证书

7、正常按照上面的操作即可成功获取到Let's Encrypt SSL证书,不过经过部落测试最大的问题就是“DNS query timed out”,由于域名DNS解析的问题导致无法验证域名从而获取SSL证书不成功。


Traceback (most recent call last):
  File "/tmp/acme_tiny.py", line 198, in 
    main(sys.argv[1:])
  File "/tmp/acme_tiny.py", line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
  File "/tmp/acme_tiny.py", line 149, in get_crt
    domain, challenge_status))
ValueError: hkh.freehao123.info challenge did not pass: {u'status': u'invalid', u'validationRecord': [{u'url': u'http://hkh.freehao123.info/.well-known/acme-challenge/sikHlqvbN4MrWkScgr1oZ9RX-lR1l__Z7FWVLhlYR0Q', u'hostname': u'hkh.freehao123.info', u'addressUsed': u'', u'port': u'80', u'addressesResolved': None}],  u'https://acme-v01.api.letsencrypt.org/acme/challenge/5m1su6O5MmJYlGzCJnEUAnvhweAJwECBhEcvsQi5B2Q/1408863', u'token': u'sikHlqvbN4MrWkScgr1oZ9RX-lR1l__Z7FWVLhlYR0Q', u'error': {u'type': u'urn:acme:error:connection', u'detail': u'DNS query timed out'}, u'type': u'http-01'}

8、经过对比发现,国内的DNSPOD阿里云DNSCloudXNS等都会出现Let's Encrypt 验证域名超时的情况,国外的Namecheap DNS、Linode DNS、Domain.com DNS等都是没有问题。

Let's Encrypt遇到DNS超时

四、 Ngnix配置Let's Encrypt免费SSL

1、注意查看你的Let's Encrypt免费SSL证书保存位置,一般是在/etc/letsencrypt/live/freehao123.com这样的下面。

Let's Encrypt证书保存位置

2、fullchain.pem就是公钥,privkey.pem就是私钥。有了这两个文件我们就可以在Ngnix上配置SSL证书了。OneinStack一键工具在创建虚拟主机时可以选择为网站配置SSL。

Let's Encrypt一键配置SSL

3、如果有用OneinStack,那么最简单的方法就是用fullchain.pem和privkey.pem替代原来生成的CRT和Key文件,这样做的好处就可以保留Ngnix配置的SSL证书路径,只要简单修改引用的公钥和私钥即可。

Let's Encrypt替换原来的SSL

4、当然,为了后面的操作方便,我们建议保留Let's Encrypt生成的SSL证书,直接在网站的配置中修改SSL证书引用路径。使用VPS主机创建网站时会为网站生成一个.conf文件。

Let's Encrypt主机配置文件

5、这个这个.conf文件,直接替换掉ssl_certificate和ssl_certificate路径即可,如下图:

Let's Encrypt修改代码

6、OneinStack的Nginx配置SSL证书代码示例:


server {
listen 443 ssl http2;
ssl_certificate /etc/letsencrypt/live/freehao123.org/fullchain.pem;//改动地方1
ssl_certificate_key /etc/letsencrypt/live/freehao123.org/privkey.pem;//改动地方2
ssl_session_timeout 10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-SHA384:ECDHE-RSA-:ECDHE:!DES:!3DES:!MD5:!DSS:!PKS;
ssl_session_cache builtin:1000 shared:SSL:10m;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
server_name www.freehao123.org freehao123.org;
access_log /data/wwwlogs/www.freehao123.org_nginx.log combined;
index index.html index.htm index.php;
include /usr/local/nginx/conf/wordpress.conf;
root /data/wwwroot/www.freehao123.org;
if ($host != www.freehao123.org) {
    rewrite ^/(.*)$ $scheme://www.freehao123.org/$1 permanent;
    }
server {
listen 80;
server_name www.freehao123.org;
rewrite ^/(.*) https://$server_name/$1 permanent;
}

7、最后重启Nginx,打开浏览器就可以看到SSL证书已经成功配置好了。

Let's Encrypt配置成功

8、对于安装了LNMP的朋友,可以参考以下代码修改自己的Nginx配置。


server
{
listen 443 ssl;   //如果需要spdy也可以加上,lnmp1.2及其后版本都默认支持spdy,lnmp1.3 nginx 1.9.5以上版本默认支持http2
server_name www.freehao123.com;     //域名
index index.html index.htm index.php default.html default.htm default.php;
root /home/wwwroot/www.freehao123.com;            //网站目录
ssl_certificate /etc/letsencrypt/live/www.freehao123.com/fullchain.pem;    //前面生成的证书
ssl_certificate_key /etc/letsencrypt/live/www.freehao123.com/privkey.pem;   //前面生成的密钥
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;

include wordpress.conf;  //这个是伪静态
#error_page 404 /404.html;
location ~ [^/]\.php(/|$)
{
# comment try_files $uri =404; to enable pathinfo
try_files $uri =404;
fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
include fastcgi.conf;     //lnmp 1.0及之前版本替换为include fcgi.conf;
#include pathinfo.conf;
}

五、Apache配置Let's Encrypt免费SSL

1、首先,我们需要对Apache的配置进行修改,打开 /usr/local/apache/conf/httpd.conf ,查找httpd-ssl将前面的#去掉,然后执行命令(注意将路径换你自己的):

  • cat >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
    Listen 443
  • AddType application/x-x509-ca-cert .crt
    AddType application/x-pkcs7-crl .crl
  • SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
    SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
    SSLHonorCipherOrder on
  • SSLProtocol all -SSLv2 -SSLv3
    SSLProxyProtocol all -SSLv2 -SSLv3
    SSLPassPhraseDialog builtin
  • SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
    SSLSessionCacheTimeout 300
  • SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
    EOF

2、接着,在你创建的网站的Apache配置的最后</VirtualHost>下面添加上SSL部分的配置文件:

  • <VirtualHost *:443>
    DocumentRoot /home/wwwroot/www.freehao123.com   //网站目录
    ServerName www.freehao123.com:443   //域名
    ServerAdmin [email protected]      //邮箱
    ErrorLog "/home/wwwlogs/www.freehao123.com-error_log"   //错误日志
    CustomLog "/home/wwwlogs/www.freehao123.com-access_log" common    //访问日志
    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/www.freehao123.com/fullchain.pem   //之前生成的证书
    SSLCertificateKeyFile /etc/letsencrypt/live/www.freehao123.com/privkey.pem    //之前生成的密钥
    <Directory "/home/wwwroot/www.freehao123.com">   //网站目录
    SetOutputFilter DEFLATE
    Options FollowSymLinks
    AllowOverride All
    Order allow,deny
    Allow from all
    DirectoryIndex index.html index.php
    </Directory>
    </VirtualHost>

3、最后就是重启Apache,然后打开浏览器就可以看到SSL证书配置成功了。

Let's Encrypt访问SSL成功

六、 Let's Encrypt免费SSL证书续期

1、Let's Encrypt免费SSL证书有效期是90天,也就是每三个月你就得续期一次。采用官方的方法获取到的免费SSL证书,你不需要更改Apache和Nginx配置代码,执行以下代码即可自动替换证书为新的(注意修改域名和邮箱):


./letsencrypt-auto certonly --renew-by-default --email [email protected] -d freehao123.org -d www.freehao123.org

2、采用上面脚本快速获取Let's Encrypt免费SSL证书的,在90天内再次执行命令即可:./letsencrypt.sh letsencrypt.conf。

Let's Encrypt证书续期

3、cron 定时任务。每个月自动更新一次证书,可以在脚本最后加入 service nginx reload等重新加载服务。


0 0 1 * * /etc/nginx/certs/letsencrypt.sh /etc/nginx/certs/letsencrypt.conf >> /var/log/lets-encrypt.log 2>&1

七、Let's Encrypt免费SSL证书使用小结

1、Let's Encrypt免费SSL证书获得方式比较简单,不管采用何种方式,只要能够得到证书和密钥,我们就可以在自己的服务器上配置好SSL。上面讲到了Apache和Nginx的配置方法,如果你有自己的虚拟主机面板,可以直接通过后台添加证书和私钥文件即可。

Let's Encrypt各大浏览器支持

2、想要将Let's Encrypt SSL安装在DirectAdmin面板的朋友可以参考:DirectAdmin安装StartSSL免费SSL证书。Cpanel面板的朋友参考:Cpanel主机安装Godaddy SSL证书方法。使用Kloxo面板的朋友,可以参考:Kloxo搭建网站安装StartSSL免费SSL证书

文章出自:免费资源部落 部分内容参考 Vpserv2ex版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。

您或许对下面这些文章有兴趣:                    本月吐槽辛苦排行榜

在这个部落村庄里,已经有226 位神马家族成员冒出泡来在农场开始干活了
  • Kung 23

    可以搞一个。。。

    qi 回复:

    @Kung, 可以试试。

    怪兽法师 回复:

    @qi, easypanel怎么搞

    qi 回复:

    @怪兽法师, easypanel新版的没有了添加SSL功能,easypanel v2.4.0版有直接从后台添加SSL证书文件的功能。不过, 我们可以按照Nginx配置的方法来在easypanel上安装SSL。

    何朝城 回复:

    @qi, 速度好快啊。

    这是农场的第 1 块农田,部落批准 [Kung] 在[2015-12-11 17:41]开垦完成.
  • 丹乐网 5

    我想弄个但是用的lum 不会弄

    qi 回复:

    @丹乐网, lum 好像自带了SSL证书安装,可以直接安装。

    这是农场的第 2 块农田,部落批准 [丹乐网] 在[2015-12-11 18:32]开垦完成.
  • https://diafygi.github.io/gethttpsforfree/
    这里可以在线申请let’s encrypt

    qi 回复:

    @快乐家园, 居然还有这么一个好东西,这个真是方便呀。

    快乐家园 回复:

    @qi, 这个网页需要用linux下的openssl进行操作,不支持windows(亲测),而且一样会有dns解析问题。我正在做一个用起来没那么麻烦的版本,用php实现,做出来再说。dns问题应该去letsencrypt的论坛讨论一下。

    qi 回复:

    @快乐家园, 期待博主的应用出来,这样大家获取证书就方便多了。

    快乐家园 回复:

    @qi, [url]https://f.e123.pw/ssl/[/url],已经差不多了,我还没测试,因为我在用cloudxns…

    iii 回复:

    @快乐家园, :smile: 我又找到一个跟你这一模一样的网站。。似乎关于支持性方面比你这个要好一点,都汉化过了https://getssl.easyssl.pw,还用了这个项目的名字做域名。。

    qi 回复:

    @iii, 应该都是基于lets encrypt开发的吧。

    iii 回复:

    @qi, 网站说了好像就是一个lets开发的,而且还指明了这个网站能加快颁发步骤,申请证书不是卖点,好像就是为letsencrypt而开的。。而且我试了下,好像可以用SSL访问,不过是Cloudflare的SSL

    快乐家园 回复:

    @qi, 而且这个还不能续期。

    qi 回复:

    @快乐家园, 那这样就不好了。不能续期后期就麻烦了。

    快乐家园 回复:

    @qi, 作者说后续会出,不过也可以用官方的客户端来续期。

    这是农场的第 3 块农田,部落批准 [快乐家园] 在[2015-12-11 18:54]开垦完成.
  • 我是小马甲~~ 3

    正在申请 StartSSL 呢。
    一会试一试这个

    qi 回复:

    @我是小马甲~~, StartSSL 申请容易失败,我今天刚刚试一了下,说我的信息不准确。

    灰姑娘 回复:

    @qi, 他们好像是人工借助地图工具审查的。。我也是改了好几次才申请到。

    这是农场的第 4 块农田,部落批准 [我是小马甲~~] 在[2015-12-11 19:17]开垦完成.
  • 我是小马甲~~ 3

    qi 有木有一个群,我加进去学点东东。 这几天就搞了这个SSL了

    qi 回复:

    @我是小马甲~~, 有的:https://www.freehao123.com/contact/。群5和群7不错。

    这是农场的第 5 块农田,部落批准 [我是小马甲~~] 在[2015-12-11 19:29]开垦完成.
  • TrojanSun 8

    看着好麻烦.///不做交易站 不知道有没有用啊…

    qi 回复:

    @TrojanSun, 用作个人博客也可以用,现在搜索引擎都鼓励使用Https

    这是农场的第 6 块农田,部落批准 [TrojanSun] 在[2015-12-11 21:54]开垦完成.
  • 也就是说要想使用这个ssl证书 就不能用的 DNS服务商 提供的dns服务了吗?

    qi 回复:

    @外星人源码论坛, 使用那个快速获取SSL证书的会要求验证,国内的DNS服务会出现问题。

    快乐家园 回复:

    @qi, [img]https://i5.tietuku.com/9180040703ff42c2.png[/img]
    有人把dns问题归结到zf身上了。dnspod已经开始着手解决这个问题,cloudxns也有人反映了。

    qi 回复:

    @快乐家园, 原来是这样呀。

    灰姑娘 回复:

    @qi, DNS和ssl证书有什么关系呀?没太明白呢、

    qi 回复:

    @灰姑娘, 没有什么关系,就是这个验证时出现域名访问不成功的问题。

    灰姑娘 回复:

    @qi, 验证的时候解析异常吗?好奇怪,是*的问题(O_O)?

    qi 回复:

    @灰姑娘, 有可能,也有可能是国内的DNS的问题。

    这是农场的第 7 块农田,部落批准 [外星人源码论坛] 在[2015-12-11 22:16]开垦完成.
  • eqblog 4

    :smile: 恩。。这个免费证书不错。。现在comodo也有免费一年的。。。恩感觉比这个高大上点。。。

    qi 回复:

    @eqblog, comodo 免费SSL,是不是Uk提供的那个?我申请了好几次都不没有答复。

    eqblog 回复:

    @qi, 是的就是那个~hostloc上有教程的~可以申请成功…恩..我博客也有教程的~

    qi 回复:

    @eqblog, 原来我已经申请成功了。我一直以为要等待审核开通的邮件。刚刚直接去申请获取证书,就成功了。

    这是农场的第 8 块农田,部落批准 [eqblog] 在[2015-12-11 22:38]开垦完成.
  • 电脑知识收藏夹

    :twisted: 楼主似乎没有说明…… 这个证书其实是支持多域名的!!!多域名哟!一个IP,多个域名的证书是极好的哟!(目前其他免费/便宜证书都是只支持单域名的)

    qi 回复:

    @电脑知识收藏夹, 谢谢,确实是这样。生成域名证书时可以添加多个域名。

    qi 回复:

    @电脑知识收藏夹, 博主的网站无法发布评论。

    这是农场的第 9 块农田,部落批准 [电脑知识收藏夹] 在[2015-12-12 01:09]开垦完成.
  • windows系统怎么安装呀?

    mannix 回复:

    @等待记忆中, windows还是去申请wosign或者startssl的免费证书得了

    qi 回复:

    @等待记忆中, 目前还不支持Windows系统。

    快乐家园 回复:

    @qi, 用linux的机器申请,手动模式,然后把证书装到win机器上。官方说稍后支持,github上面也有支持iis的版本

    这是农场的第 10 块农田,部落批准 [等待记忆中] 在[2015-12-12 11:51]开垦完成.
  • 想搞个ssl证书,可惜没有vps,用的都是虚拟主机

    qi 回复:

    @黄良钵博客, 是呀,这个需要独立IP。不过,虚拟主机可以使用CloudFlare的免费SSL证书。

    黄良钵博客 回复:

    @qi, 部落不搞个证书?

    这是农场的第 11 块农田,部落批准 [黄良钵博客] 在[2015-12-12 12:23]开垦完成.
  • 程力集团

    现在好多站都在往https发展了,一般都是主域。

    qi 回复:

    @程力集团, 是呀,如果搜索引擎能够对SSL友好的话,相信以后更多的网站就会使用Https了。

    这是农场的第 12 块农田,部落批准 [程力集团] 在[2015-12-12 14:43]开垦完成.
  • tey 1

    [url]https://www.yscdn.com/[/url]这家提供免费2年的cdn 每个月10G流量 qi应该介绍下 话说第一期应该就没了 结果又出了第二期

    qi 回复:

    @tey, 好,我去看看。

    这是农场的第 13 块农田,部落批准 [tey] 在[2015-12-12 18:47]开垦完成.
  • CDN(备?案) VS SSL,只能放弃SSL了 :sad:

    qi 回复:

    @何朝城, 现在CDN支持SSL的比较少。

    iii 回复:

    @qi, Cloudflare其实无比流氓,后台限制SSL如果不是新系统和新浏览器 根本就锁死443端口,改UA没用,实际上所谓的SNI技术不支持WINXP纯属胡扯。。只是不支持XP中的IE6和XPSP2而已,XPSP3用chrome内核的一样是可以使用的,cpanel已经点名在那里上传的证书都是SNI技术,而我在XP下正常访问,使用CLOUDFLARE SSL却不行,换WIN7就能打开了,我一朋友在百度那儿,不知道是干啥的,西安电大出来就去百度了,我就找他问了下cloudflaressl是不是捣鬼了,第二天他说同事说CLOUDFLARE对免费套餐有检测的,会检测UA,旧系统不管是什么浏览器就是不允许加密访问。而百度却专业版也不支持SSL,然而10G防御和几乎穿不透的CC是很大卖点。扯完百度扯完CLOUDFLARE收工,顺便提醒下qi:verycloud的CDN每个月50G流量,支持传SSL,但是据说有国外节点,然而仍要备@案

    qi 回复:

    @iii, verycloud有分享过,不过要BA是一个大问题。Cloudflare的免费SSL确实存在不少的问题。

    这是农场的第 14 块农田,部落批准 [何朝城] 在[2015-12-12 19:37]开垦完成.
  • 其实买收费的证书会减少时间成本,因为这个证书一次签名有效期仅有90天啊……

    qi 回复:

    @王琪亮, 是呀,希望以后可以证书可以适当延长时间,这样那些卖付费的证书就不好做了。

    RR233CY 回复:

    @王琪亮, 这货支持使用cron自动更新SSL证书

    王琪亮 回复:

    @RR233CY, 我知道啊,但是cron挂了怎么办?
    这么多的不确定,让我依然支持廉价收费dv证书。

    RR233CY 回复:

    @王琪亮, 你可以设置每个月自动更新一次SSL证书啊

    这是农场的第 15 块农田,部落批准 [王琪亮] 在[2015-12-12 22:30]开垦完成.
  • talwayss

    三、利用脚本快速获取Let’s Encrypt SSL证书–这个脚本,没有说明nginx配置呀,生成那么多文件,到底如何使用的;如何配置根本没说???????

    三、利用脚本快速获取Let’s Encrypt SSL证书–这个脚本,没有说明nginx配置呀,生成那么多文件,到底如何使用的;如何配置根本没说???????

    qi 回复:

    @talwayss, 亲,在下面:四、 Ngnix配置Let’s Encrypt免费SSL

    talwayss 回复:

    @qi, 文件名字对不上,脚本生成几个了;不知道是那个,脚本哦

    这是农场的第 16 块农田,部落批准 [talwayss] 在[2015-12-12 23:38]开垦完成.
  • 不认识 5

    加密就是好啊,能防各种篡改。。。
    我见过有无耻网吧把广告ID换成自己的ID的

    qi 回复:

    @不认识, 是呀,淘宝推广的,最多了。

    这是农场的第 17 块农田,部落批准 [不认识] 在[2015-12-13 00:26]开垦完成.
  • Horo 3

    还是顶一下呗~

    这是农场的第 18 块农田,部落批准 [Horo] 在[2015-12-14 08:42]开垦完成.
  • ty

    前几天快速脚本已经增加了对 centos 下 /etc/pki/tls/openssl.cnf 判断,可以直接运行不需要修改了哦

    qi 回复:

    @ty, 谢谢,已经更新文章。

    这是农场的第 19 块农田,部落批准 [ty] 在[2015-12-14 09:20]开垦完成.
  • 冰喵

    其实还有另外一种方案,适用于Debian,可能没你的好,不过您可以看看

    https://morz.org/52.html

    补充一下,使用dnspod的用户在国外主机会签发失败
    (请使用https访问,请使用先进浏览器与系统访问,ssl安全过高,低系统不在支持)

    qi 回复:

    @冰喵, XP系统下打不开吗?

    冰喵 回复:

    @qi, 我设置的安全等级 低系统不支持罢了

    只开tls1.2 基本就让一大部分的设备ed了

    qi 回复:

    @冰喵, 我还得换个windows 7系统。现在用了XP系统。

    这是农场的第 20 块农田,部落批准 [冰喵] 在[2015-12-14 17:30]开垦完成.
  • 冰喵

    然后你的域名必须要绑定在这个签发的主机上,他会利用你的域名dns来验证你域名是否绑定在这个主机上,以便验证你的身份

    其中对应的server参数是签发服务器,如果不指定会签发一个不可信任的证书,然后感谢博主的脚本使定时签发成了可能

    上个评论审核中,如果先看到了这个麻烦等待一下吧

    qi 回复:

    @冰喵, 任意域名都可以签发SSL吧?

    冰喵 回复:

    @qi, 似乎是的 但是必须经过dns验证

    不过dnspod真是够烂的
    国外机器始终超时 阿里的倒是没问题 迷

    qi 回复:

    @冰喵, 阿里DNS可以吗?DNSPOd看来是有问题了。

    这是农场的第 21 块农田,部落批准 [冰喵] 在[2015-12-14 17:36]开垦完成.
  • qq 2

    收到这4个文件了
    [img]https://img.freehao123.com/wp-content/uploads/2014/12/namecheap-ssl_21.gif[/img]
    然后呢,该怎么安装?
    cpanel主机,上传了一个,浏览器访问证书不信任。这4个都是干什么用的?

    qq 回复:

    @qq, 注意: 您没有专用 IP 地址。因此,当用户访问您的任何 SSL 网站时,不支持 SNI 的 Web 浏览器有可能向这些用户显示虚假的安全警告。 Windows XP™ 上的 Microsoft® Internet Explorer™ 是最广泛使用的不支持 SNI 的 Web 浏览器。

    qi 回复:

    @qq, 把这个证书合并为一个证书文件即可,合并顺序是:域名.crt+SecureServerCA.crt+AddTrustCA.crt+CARoot.crt

    qq 回复:

    @qi, 怎么让http自动转向https呢?

    qi 回复:

    @qq, 如果要实现自动跳转的话,就得要用301重定向了。这个就需要修改Htaccess代码了。

    qq 回复:

    @qi, wordpress博客直接在设置-常规,修改
    WordPress地址(URL)
    站点地址(URL)可以吗?网上教程还得改代码、装插件,直接改地址有什么问题吗?

    qi 回复:

    @qq, 可以,不用改代码。

    qq 回复:

    @qi, 直接在设置-常规,修改WordPress地址,http改成https,有什么问题没有?

    qi 回复:

    @qq, 没有问题。

    这是农场的第 22 块农田,部落批准 [qq] 在[2015-12-15 02:39]开垦完成.
  • ip 2

    @qi, openshift能不能用这种第三方的SSL证书,我没有信用卡….

    qi 回复:

    @ip, 免费的用户,不支持。

    这是农场的第 23 块农田,部落批准 [ip] 在[2015-12-16 13:06]开垦完成.
  • qq 2

    普通cp的虚拟主机怎么申请Let’s Encrypt SSL?没有vps

    qi 回复:

    @qq, 普通的CP要有一个独立的IP地址,然后可以在Cpanel后台的SSL管理器中生成CSR,可以进入到这:https://f.e123.pw/ssl/和https://diafygi.github.io/gethttpsforfree/申请,这是网友根据Let’s Encrypt 开发出来的。

    iii 回复:

    @qi, 漏了一个,httpsforfree我前天搜免费的SSL时候找到的,letsencrypt是才出的,而这网站居然连个CSS都没有…纯组件..忽然好有复古的感觉,这个easyssl用的好像是修改过的bootstrap,还有CSR在线生成什么的,比httpsforfree要方便点。[url]https://www.easyssl.pw[/url]

    qi 回复:

    @iii, 之前有个朋友好像有分享过。

    这是农场的第 24 块农田,部落批准 [qq] 在[2015-12-17 15:12]开垦完成.
  • zkwolf 2

    貌似今天有人说用了这个以后网站被q了

    qi 回复:

    @zkwolf, 不会吧,QQ对SSL证书还么敏感吗?

    zkwolf 回复:

    @qi, 可以看看他的微博https://weibo.com/u/1789004515?is_all=1

    qi 回复:

    @zkwolf, 再观察看看,QQ能发现网站所使用的证书吗?

    zkwolf 回复:

    @qi, 不知道。。没有仔细的研究过*

    四弦 回复:

    @qi, 如果开启了SNI扩展,就可以读出网站域名

    这是农场的第 25 块农田,部落批准 [zkwolf] 在[2015-12-18 21:27]开垦完成.
  • 李毅哲 12

    https://free.com.tw/ssl-for-free/
    这个申请方法容易许多!

    qi 回复:

    @李毅哲, 这个是基于 Let’s Encrypt 的在线工具,貌似有好几个这样的工具了。

    这是农场的第 26 块农田,部落批准 [李毅哲] 在[2015-12-31 11:17]开垦完成.
  • DingMing 2

    那个cron定时要怎么设置啊?求科普

    qi 回复:

    @DingMing, 这个是Linux定时任务,在LINUX中你应该先输入crontab -e,然后就会有个vi编辑界面,再输入代码,最后:wq 保存退出。

    这是农场的第 27 块农田,部落批准 [DingMing] 在[2016-3-10 23:55]开垦完成.
  • mikifuns 3

    是挺好的SSL,但是如果是用除了cp以外的面板的话安装特别特别特别费事……QAQ信心全没了

    qi 回复:

    @mikifuns, 最好还是VPS,虚拟主机貌似怎么好安装。

    mikifuns 回复:

    @qi, 我用的就是vps,然而 :mad: 嗯哼不用面板就不会用了 …还好我研究出来安装方法了 :mrgreen:

    EQ 回复:

    @mikifuns, da amh 这些安装ssl还是很快的~ 一键包的话也很容易安装~

    qi 回复:

    @EQ, amh好像有模块吧?

    EQ 回复:

    @qi, 恩。。不知道是不是我配置姿势不对。。反正用不惯amh的模块。。

    mikifuns 回复:

    @qi, amh有模块,但是对于Let’s Encrypt这种的是没有模块支持的也就是说还得看官方文档然后改来改去慢慢去弄怎么挂ssl…我花了一上午去弄那玩意特麻烦…但是如果直接由证书文件的话amh是可以直接用的…问题是Let’s Encrypt这玩意另类….

    qi 回复:

    @mikifuns, 所以,还是不要用VPS面板吧,漏洞不说,各种不兼容。

    qi 回复:

    @mikifuns, 你的网站SSL成功了,但是打开速度有些慢。

    mikifuns 回复:

    @qi, :sad: 我委屈,但我不说…10秒打开那都算神速了…域名没备@案也用不了什么cdn加速cf的那玩意我也是不敢用…而且我自己家的网就有问题我访问啥都嘎嘎慢的…. :cry:

    四弦 回复:

    @mikifuns, 博主,说说你SSL配置的几个问题吧。
    第一,证书链不完整,输出的证书至少要包含站点证书和LE的证书,否则Firefox是不认的
    第二,协议支持没有配置好。从安全角度来看,协议支持最低只能到TLSv1.0,然而你却打开了SSL3,这一项就能使ssllabs直接降到C
    第三,Cipher Suites输出得不对,你把RC4打开了,这是极不安全的做法。而且TLS1.2的算法(如AES-GCM)输出得太靠后了,应该庆幸的是你没有开启ssl_cipher_prefer_server on;否则握手时就会采用落后加密套件)
    第四,没有开启OCSP Stapling。对于要求严格的浏览器,比如ff,会选择由客户端来发送OCSP查询,以验证证书是否有效。然而LE的OCSP服务器在美国,由客户端来发送查询,效果可想而知。强烈建议打开OCSP Stapling
    第五,前向安全性配置不当(也是cipher suites的问题)
    第六,HSTS没有配置。不过这算个比较小的问题。

    这个工具可以方便地测试SSL配置:
    https://www.ssllabs.com/ssltest/

    我的网站nginx配置文件供参考:
    https://n4l.pw/nginx-configuration-file.html/

    这位大神的博客可以学到很多东西:
    https://imququ.com

    qi 回复:

    @四弦, 您的连接不是私密连接

    攻击者可能会试图从www.ssllabs.com窃取您的信息(例如:密码、通讯内容或信用卡信息)。 NET::ERR_CERT_REVOKED
    怎么回事?

    mikifuns 回复:

    @四弦, 首先太感谢您指出的问题了(虽然我知识少一个也没看懂) 你说的这些我会研究下的..实际上这SSL都是我照葫芦画瓢弄上去的.面板方没给方案官方也没给方案扔了一摊子完全就是硬弄上去的..所以说要这样我还不如放弃https了……然后我是用的不是Nginx所以文件可以借鉴,但是能不能用….另算了 :cry: 然后你下面说的问题已经出现了,我已经有因为SSL的原因导致网站打不开的问题了,当初不明白咋回事以为是被移动给*了现在再看感觉不是那回事….So…. :???: 我放弃了这https太难伺候了……慢慢弄吧….

    qi 回复:

    @mikifuns, mikifuns.com 显示目录出来了。。。

    mikifuns 回复:

    @qi, :?: 没事反正就一个临时的机子啥东西也没有….

    mikifuns 回复:

    @qi, 现在好了… :sad: 可怜的我等明天考完期中再搭理这玩意

    qi 回复:

    @mikifuns, 还是会显示目录。

    mikifuns 回复:

    @qi, :sad: 崩溃的内心

    qi 回复:

    @mikifuns, 今天一天一直受到攻击,网站的评论都不正常了。

    mikifuns 回复:

    @qi, 看得出,早中晚三次呗 :wink:

    qi 回复:

    @mikifuns, 不是,每天都有。不定时。

    四弦 回复:

    @mikifuns, 导致打不开应该是firefox浏览器,因为ff对证书要求比较严格,如果证书链不完整ff不会认。要解决也很简单,只要下载let’s encrypt的证书,然后把里面的内容贴到站点证书的后面即可

    mikifuns 回复:

    @四弦, 我试了不仅是let’s encrypt的就包括我自己手动复制进去的wosign的证书都有这个问题.我听论坛的人说过好像什么csr啊还是啥不要输入不然会出错不知道是不是这个原因.我重装了打算再试试.

    四弦 回复:

    @mikifuns, 这么说吧。SSL证书是由一系列认证的权威机构颁发的,这些机构都有各自的证书。而机构分为根证书机构(全球一共几百个)和中级证书机构(他们的证书是由根证书机构颁发的)。因此,每一个站点证书对应一条证书链,即站点-中级颁发机构-根证书。浏览器只有在证书链中检测到受信任的证书(即必须追溯到至少一个受信任的中级证书机构)才认为站点证书是可信的。因此,如果证书链中只有站点证书,浏览器要么自行去下载对应的中级机构证书,要么选择不信任。ff采取的就是后者。所以如果要被ff信任,必须编辑站点证书文件,在末尾粘贴进Let’s encrypt中间证书(在网站上可以下载到),才可以被ff信任。而OCSP(在线证书状态协议),是为了验证证书是否有效而提出的,正如我之前说的,要么由浏览器发送OCSP查询,要么由服务器缓存OCSP查询结果并返回,由于服务器网络较好,通常选择后者,称为OCSP Stapling(OCSP封套)。而完整的证书链是服务器OCSP Staling的必须条件。

    mikifuns 回复:

    :sad: 求教正确获得完整证书的姿势

    qi 回复:

    @四弦, startssl也存在Firefox不信任的问题,需要复制粘贴中间证书才行。

    四弦 回复:

    @qi, 实际上ff这种做法虽然激进,但是是正确的。因为SSL证书是应该配置完整证书链的,否则就必须由浏览器去下载中间证书甚至进行OCSP查询,这么做网络开销太大

    qi 回复:

    @四弦, xp现在Chrome都放弃了,所以现在SSL证书不用考虑XP了。

    四弦 回复:

    @mikifuns, 而你说的CSR,是证书签发请求文件,用这个文件可以向颁发机构申请到SSL证书。每个CSR对应的实际上是证书的公钥(SSL证书使用非对称加密解密方式)。显然,CSR在证书链中毫无作用。

    mikifuns 回复:

    @四弦, 唉我看到了它的证书了,但是是分为两个文件的.这样的话我想批自动处理就不可能了(总不能让每次生成的文件自动粘合在一起吧..)

    四弦 回复:

    @mikifuns, 首先纠正一个概念,Linux下一般不说批处理而称为shell脚本。其次这个问题很简单,首先你下载X3中间证书(被XP兼容),然后假设中间证书为
    intermediate.pem,签发证书为signed.crt,合并命令为
    cat signed.crt intermediate.pem > site.crt
    可看我博客第二页(貌似)有一个le更新脚本,除了加入CT(certificate transperancy)信息之外,就是一个正常的le更新脚本

    mikifuns 回复:

    @四弦, :sad: 我渣所以别太计较什么术语….我自己就是凭印象说的没真正较过真…其次我解决了那个问题.现在评价上升到B了 天终于上去了

    四弦 回复:

    @mikifuns, 博主你好,你的博客SSL更新邮件我已收到。再看了一下,的确安全了不少。不过,仍有几个致命问题:
    1.Cipher Suites输出得仍旧不恰当,这么输出的话,兼容性实在太差了,作为一个RSA证书,这么损害兼容性简直作死
    2.没有开启HTTP/2,开启后性能提升很大,建议开启。开启之后一定要打开ALPN和NPN(只要在编译nginx时静态编译openssl 1.0.2h即可)
    3.没有开启HSTS。HSTS(HTTP严格安全传输协议)是一个服务端响应头。我们知道,传统的将所有HTTP 301到HTTPS的做法,虽然可行,但是,第一次HTTP请求就可以被直接劫持,从而构成HTTPS降级(Downgrade)攻击。而浏览器在收到HSTS头后,会在本地建立HSTS缓存,对于缓存HSTS状态的网站,浏览器将会本地直接307到HTTPS,杜绝运营商劫持。HSTS头的格式如下:(名称为Strict-Transport-Security)
    max-age=;[includeSubDomains;[preload]]
    加方括号的参数为可选。max-age必选,规定缓存有效期,单位为秒。includeSubDomains,对所有子域名全部启用HSTS。preload即预加载,由于HSTS仍依赖服务端头,则在用户初次访问时仍可能被劫持。为此,现代浏览器内置一份HSTS Preload List,在这个名单中的网站将强制进行本地跳转,无需第一次加载接受到服务端返回的HSTS头。个人网站目前可以加入该列表,只需要到下面的网址提交(已被Q)
    https://hstspreload.appspot.com/
    要求如下:
    1.所有HTTP 301到HTTPS
    2.必须有www域名,且www也要启用HTTPS。以及所有有DNS记录的子域名都要启用HTTPS
    3.设置HSTS如下(max-age为最小值)
    max-age=10886400; includeSubDomains; preload
    4.一个有效的证书
    提交后大约有2周-1个月的审核期,之后你的域名会被加入该名单,但首先只会加入Candy版(可理解为chrome的开发版),之后是unstable(不稳定版),一般要几个月才能进入稳定版。IE Edge Firefox Tor都使用这份名单,但更新频率有区别
    nginx指令如下
    add_header Strict-Transport-Security ‘max-age=10886400; includeSubDomains; preload’;

    四弦 回复:

    @mikifuns, 另外你的网站目前500中

    四弦 回复:

    @mikifuns, 应该说,博主你的网站打开速度慢不仅仅是速度的问题,SSL这一块问题相当大

    四弦 回复:

    @mikifuns, 用curl测试了几次,结果如下
    ➜ ~ curl -kso /dev/null -w “tcp:%{time_connect}, ssldone:%{time_appconnect}\n” https://blog.mikifuns.com/
    tcp:0.478, ssldone:2.351
    ➜ ~ curl -kso /dev/null -w “tcp:%{time_connect}, ssldone:%{time_appconnect}\n” https://blog.mikifuns.com/
    tcp:0.214, ssldone:8.478
    ➜ ~ curl -kso /dev/null -w “tcp:%{time_connect}, ssldone:%{time_appconnect}\n” https://blog.mikifuns.com/
    tcp:0.197, ssldone:0.997
    ➜ ~ curl -kso /dev/null -w “tcp:%{time_connect}, ssldone:%{time_appconnect}\n” https://blog.mikifuns.com/
    tcp:0.222, ssldone:1.839

    结果中,tcp是TCP握手时间,ssldone是SSL握手完成的时间。SSL握手消耗的时间很长

    另外,从chrome://net-internals/#http2里可以看到,你的网站也没有开启HTTP/2,开启它也可以极大提升网站速度(讽刺的是可以看到你页面里引用的又拍链接用了h2)同时,尽管你开启了Keep-Alive长连接,但是这一值却设置得太短(用ch的开发工具可以看到头部只输出了timeout=5)

    wkmike 回复:

    @四弦, 我也是按imququ配置的nginx。
    @qi,评论编辑器右边头像和信息显示不全

    四弦 回复:

    @wkmike, 是啊,他的博客确实很涨知识

    四弦 回复:

    @wkmike, 博主你既然打开了CT,为什么不上HSTS和HPKP呢?另外ECC只用了256位的,ssllabs建议是384位

    wkmike 回复:

    @四弦, 现在还没怎么研究,只是依样画葫芦,今天递交了阿里*,等备@案好了重新好好研究下,马上毕业了,大二的信息安全课程没好好听实在是后悔

    四弦 回复:

    @wkmike, 都大二了。。。我高一狗- –

    四弦 回复:

    @四弦, 啊不,大学毕业。。。

    wkmike 回复:

    @四弦, 高一好年轻,大二是两年前,马上毕业工作了。。

    qi 回复:

    @wkmike, 多在互联网网上看看技术文章,自学成才。

    qi 回复:

    @wkmike, 一直有这个Bug,嵌套评论时CSs那一块有不兼容的问题。

    qi 回复:

    @mikifuns, 现在还是挺快的。

    这是农场的第 28 块农田,部落批准 [mikifuns] 在[2016-5-1 10:12]开垦完成.
  • TrojanSun 8

    通过脚本获取的key是否有时间限制呢?
    而且你的文章的操作和你的图对不上
    脚本获取的只有4个文件 没有pem!

    qi 回复:

    @TrojanSun, 没有时间限制。key和pem是一样的,把后缀名修改一下就可以生成Pem了。或者直接在路径中引用key就行 了,只要有一个公钥与私钥就行了。

    TrojanSun 回复:

    @qi, 快速的没时间限制? 一步一步的要有时间限制,好累!

    qi 回复:

    @TrojanSun, 你说证书有效期吗?都是90天。

    TrojanSun 回复:

    @qi, 恩 是的 为什么我配置完成后 如果输入www.域名.com 会告诉我 只对域名.com有效 会拦截

    TrojanSun 回复:

    @TrojanSun, 不过我貌似知道了原因我去试试!

    qi 回复:

    @TrojanSun, 是不是Firefox不信任?

    TrojanSun 回复:

    @qi, 是因为申请的时候就申请了一个….很,,,,咳 失误

    这是农场的第 29 块农田,部落批准 [TrojanSun] 在[2016-5-13 16:19]开垦完成.
  • 都添加完成后,图片和js css都加载不出来了 怎么解决

    qi 回复:

    @qiye, 你的CSS是用了CDN吗?

    这是农场的第 30 块农田,部落批准 [qiye] 在[2016-6-27 17:45]开垦完成.
  • Qa 4

    我尝试了下这个脚本,报错了。
    这错误该怎么解决,PY还是很久以前装的。
    [[email protected] letssl]# ./letsencrypt.sh letsencrypt.conf
    Generate CSR…acg18.csr
    Traceback (most recent call last):
    File “/tmp/acme_tiny.py”, line 2, in
    import argparse, subprocess, json, os, sys, base64, binascii, time, hashlib, re, copy, textwrap, logging
    ImportError: No module named argparse

    Qa 回复:

    @Qa, 安装了下环境,又报错400.是传说中的域名问题么。
    Generate CSR…acg18.csr
    Parsing account key…
    Parsing CSR…
    Registering account…
    Already registered!
    Verifying acg18…
    Traceback (most recent call last):
    File “/tmp/acme_tiny.py”, line 198, in
    main(sys.argv[1:])
    File “/tmp/acme_tiny.py”, line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
    File “/tmp/acme_tiny.py”, line 104, in get_crt
    raise ValueError(“Error requesting challenges: {0} {1}”.format(code, result))
    ValueError: Error requesting challenges: 400 {
    “type”: “urn:acme:error:malformed”,
    “detail”: “Error creating new authz :: DNS name does not have enough labels”,
    “status”: 400
    }

    Qa 回复:

    @Qa, 经过仔细的检查发现是 配置文件的域名填写错误。
    修改后报错如下。
    Generate CSR…acg18.csr
    Parsing account key…
    Parsing CSR…
    Registering account…
    Already registered!
    Verifying *******…
    Traceback (most recent call last):
    File “/tmp/acme_tiny.py”, line 198, in
    main(sys.argv[1:])
    File “/tmp/acme_tiny.py”, line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
    File “/tmp/acme_tiny.py”, line 123, in get_crt
    wellknown_path, wellknown_url))
    ValueError: Wrote file to /data/wwwroot/acg18/.well-known/acme-challenge/1lN9EOw_m1UpzQfGnZLhH5wIUcDpOQn2fGZ_jfi7LWM, but couldn’t download http://*****/.well-known/acme-challenge/1lN9EOw_m1UpzQfGnZLhH5wIUcDpOQn2fGZ_jfi7LWM

    Qa 回复:

    @Qa, 卡到这里就无法解决了….求助 :cry:

    白龙君 回复:

    @Qa,
    我也是这样,按照你的方法试验还是不行
    ValueError: Wrote file to /tmp/challenges/.well-known/acme-challenge/N3kQ22GtfBdRGUjHu9spotxQc11ReQBxcIfNt4i-Or0, but couldn’t download http://***/.well-known/acme-challenge/N3kQ22GtfBdRGUjHu9spotxQc11ReQBxcIfNt4i-Or0

    qi 回复:

    @白龙君, DNS是不是出了问题?

    Qa 回复:

    @Qa, 问题解决了,我把文件写入到/tmp没问题,通过nginx 重写URL就行了。
    location /.well-known/acme-challenge/ {
    alias /tmp/challenges/.well-known/acme-challenge/;
    try_files $uri =404;
    }

    qi 回复:

    @Qa, 现在有了更加方便的命令了:https://certbot.eff.org/

    这是农场的第 31 块农田,部落批准 [Qa] 在[2016-7-11 15:32]开垦完成.
  • 博主好,当时申请的时候没有注意留下邮箱和密码,3个月以后怎么续期啊?

    qi 回复:

    @日光网, 这个续期不用邮箱,你只需要重新操作一遍获取新的SSL证书就好了。或者直接执行命令:./path/to/certbot-auto renew –dry-run。具体的可以参考新的命令:https://certbot.eff.org/

    日光网 回复:

    @qi,好的 谢谢!

    这是农场的第 32 块农田,部落批准 [日光网] 在[2016-7-12 09:33]开垦完成.
  • Chilsion 1

    [img]https://o903xqe5h.qnssl.com/wp-content/uploads/2015/12/Lets-Encrypt_07.gif[/img]
    这个界面怎么打出来的?我怎么打不出来?对下面这一步不明白,我明白是修改这些数据,但是你图片里那个不知道怎么打出来的。3、配置文件。只需要修改 DOMAIN_KEY DOMAIN_DIR DOMAINS 为你自己的信息

    ACCOUNT_KEY=”letsencrypt-account.key”
    DOMAIN_KEY=”freehao123.com.key”
    DOMAIN_DIR=”/var/www/freehao123.com”
    DOMAINS=”DNS:freehao123.com,DNS:www.freehao123.com”

    这是农场的第 33 块农田,部落批准 [Chilsion] 在[2016-7-18 21:50]开垦完成.
  • Chilsion 1

    哦知道了,是修改letsencrypt.conf

    这是农场的第 34 块农田,部落批准 [Chilsion] 在[2016-7-18 21:56]开垦完成.
  • Chilsion 1

    现在出现的问题是这个,请问知道怎么解决吗?
    Generate CSR…onqc.csr
    Parsing account key…
    Parsing CSR…
    Registering account…
    Already registered!
    Verifying www.onqc.com…
    Traceback (most recent call last):
    File “/tmp/acme_tiny.py”, line 198, in
    main(sys.argv[1:])
    File “/tmp/acme_tiny.py”, line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
    File “/tmp/acme_tiny.py”, line 104, in get_crt
    raise ValueError(“Error requesting challenges: {0} {1}”.format(code, result))
    ValueError: Error requesting challenges: 500 {
    “type”: “urn:acme:error:serverInternal”,
    “detail”: “Error creating new authz”,
    “status”: 500
    }

    qi 回复:

    @Chilsion, 这应该是代码与你的VPS有问题,现在官方推荐了新的方法,比这个简单,一键安装:https://certbot.eff.org/

    Chilsion 回复:

    @qi, 恩,按照官方最新的方法安装成功了,原来是我系统的问题,我的系统是CentOS7.2,网络上原来的方法和代码并不适用CentOS7.2。现在出现最新的问题,就是成功启用https后,https可以打开网页,原先的http不可以打开网页了,我用的军哥LNMP,Nginx,请问怎么解决,谢谢。

    qi 回复:

    @Chilsion, 应该是Nginx配置的问题,你看看http的80端口配置那一块有没有?

    Chilsion 回复:

    @qi, 恩,上面那个问题我解决了,只是配置好以后不像你的似得是个绿锁,我的是灰色的,这是什么情况????

    qi 回复:

    @Chilsion, 这个是因为有引用的图片等用的是非https的,你可以检查一下,改成https的就行了。

    Chilsion 回复:

    @qi, 恩,找到问题了,成功启动小绿锁,谢谢。

    这是农场的第 35 块农田,部落批准 [Chilsion] 在[2016-7-18 22:29]开垦完成.
  • Installing Python packages…

    安装的时候卡在这里不动了 怎么办???

    qi 回复:

    @外星人源码论坛, Python源是不是没有更新?在安装前可以先更新一下源。

    这是农场的第 36 块农田,部落批准 [外星人源码论坛] 在[2016-8-17 22:35]开垦完成.
  • baiduissb 1

    博主你好, https://certbot.eff.org/ 根据这个步骤来 , 到这里./certbot-auto 执行完毕出现以下错误提示, 要如何解决呢?
    Creating virtual environment...
    Installing Python packages...
    Installation succeeded.
    /root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
    DeprecationWarning
    Version: 1.1-20080819
    Version: 1.1-20080819
    /root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/main.py:496: DeprecationWarning: BaseException.message has been deprecated as of Python 2.6
    return e.message
    No installers are available on your OS yet; try running "letsencrypt-auto certonly" to get a cert you can install manually

    qi 回复:

    @baiduissb, 试试:sudo yum install epel-release,或者升级:Python 2.7 看看。

    这是农场的第 37 块农田,部落批准 [baiduissb] 在[2016-8-30 11:16]开垦完成.
  • baiduissb 1

    对了 系统版本是CentOS release 6.4 (Final) 32bit

    这是农场的第 38 块农田,部落批准 [baiduissb] 在[2016-8-30 11:18]开垦完成.
  • MingS

    博主我的证书安装好了,电脑上也有小绿锁,手机访问提示证书过期或不安全,什么问题呢,感谢。

    qi 回复:

    @MingS, 是哪个证书?如果是本文的Let’s Encrypt,应该不会出现这样的问题。另外,你是通过什么方式获取的SSL证书?

    这是农场的第 39 块农田,部落批准 [MingS] 在[2016-10-12 03:08]开垦完成.
  • luoli

    用快速脚本获取的 是几个crt文件 和一个 交叉 pem
    应该用哪两个文件添加到nginx,conf ?

    qi 回复:

    @luoli, 看看下载下来的crt脚本的命名,是不是有域名.crt,还有root.crt?有的话,就要合并 ,否则直接使用域名.crt和pem就可以了。

    这是农场的第 40 块农田,部落批准 [luoli] 在[2016-10-19 00:22]开垦完成.
  • baiduissb 1

    配置好了, 但是间歇性的打不开

    chrome出现提示

    无法访问此网站

    www.xxx.com 拒绝了我们的连接请求。

    这该如何解决, xp系统, win7貌似无此问题, 但是博主的网站就不会出现这个问题 麻烦帮忙看看

    qi 回复:

    @baiduissb, 打不开查一下是不是空间的问题?这个应该和证书没有关系。

    baiduissb 回复:

    @qi, https://www.ssllabs.com/ 默认装好用这个测试只有B级别, 哪里还需要设置啊, 才能达到A+ 求指教

    qi 回复:

    @baiduissb, 检测时会有红色字体提示,好像是时间设置的问题,你可以贴出你的检测结果。

    baiduissb 回复:

    @qi, 博主你好 结果如下:
    Cipher Suites (SSL 3+ suites in server-preferred order; deprecated and SSL 2 suites at the end)
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS 128
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f) DH 1024 bits FS WEAK 256
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e) DH 1024 bits FS WEAK 128
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b) DH 1024 bits FS WEAK 256
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) DH 1024 bits FS WEAK

    DROWN (experimental) No, server keys and hostname not seen elsewhere with SSLv2
    (1) For a better understanding of this test, please read this longer explanation
    (2) Key usage data kindly provided by the Censys network search engine; original DROWN test here
    (3) Censys data is only indicative of possible key and certificate reuse; possibly out-of-date and not complete
    Secure Renegotiation Supported
    Secure Client-Initiated Renegotiation No
    Insecure Client-Initiated Renegotiation No
    BEAST attack Not mitigated server-side (more info) TLS 1.0: 0xc014
    POODLE (SSLv3) No, SSL 3 not supported (more info)
    POODLE (TLS) No (more info)
    Downgrade attack prevention Yes, TLS_FALLBACK_SCSV supported (more info)
    SSL/TLS compression No
    RC4 No
    Heartbeat (extension) Yes
    Heartbleed (vulnerability) No (more info)
    OpenSSL CCS vuln. (CVE-2014-0224) No (more info)
    OpenSSL Padding Oracle vuln.
    (CVE-2016-2107) No (more info)
    Forward Secrecy Weak key exchange WEAK
    ALPN No
    NPN Yes http/1.1
    Session resumption (caching) Yes
    Session resumption (tickets) Yes
    OCSP stapling Yes
    Strict Transport Security (HSTS) No
    HSTS Preloading Not in: Chrome Edge Firefox IE
    Public Key Pinning (HPKP) No
    Public Key Pinning Report-Only No
    Long handshake intolerance No
    TLS extension intolerance No
    TLS version intolerance No
    Incorrect SNI alerts No
    Uses common DH primes Yes Replace with custom DH parameters if possible (more info)
    DH public server param (Ys) reuse No
    SSL 2 handshake compatibility Yes

    还有就是排版错乱, 显示不正常, 请帮我看看这是什么问题, 网站51daogouwang.com

    qi 回复:

    @baiduissb, 看了一下主要是 Weak Diffie-Hellman的问题,可以参考这篇文章来解决:https://www.peterdavehello.org/2015/10/build-an-a-plus-best-practice-https-web-server-via-nginx-chinese-version/

    baiduissb 回复:

    @qi, 感谢博主, 现在A了, 但是还有一些问题, 这两项
    ALPN No
    NPN Yes http/1.1
    无法开启http2
    还有不少 Server sent fatal alert: handshake_failure
    我看了你的站点 这些几乎没有
    这是为何呢, 还有哪些地方需要配置吗

    对了还有一个为什么排版会错乱, 和主题有关系吗

    qi 回复:

    @baiduissb, 排版错乱,那是因为CSS没有加载出来,你查一下是不是CSS没有使用https.你的网站打开速度也是蛮慢的。

    baiduissb 回复:

    @qi, 是啊 非常慢 这个速度要怎么优化啊 css没加载要怎么弄, 全站替换链接为https吗

    qi 回复:

    @baiduissb, 是的,你的主机如果是使用的国外的话可以使用国内的CDN加速,将JS还有CSS等文件放在国内,这样打开速度会加快不少。

    这是农场的第 41 块农田,部落批准 [baiduissb] 在[2016-10-28 20:01]开垦完成.
  • 请问,我用阿里云的aliyun linux系统要怎么设置Let’s Encrypt

    qi 回复:

    @一九五网, SSL证书和阿里云没有关系,只要是VPS就可以按照本文的方法来安装了。

    这是农场的第 42 块农田,部落批准 [一九五网] 在[2016-11-4 23:19]开垦完成.
  • yooujiao 3

    如何将Let’s Encrypt安装在redhat openshift空间上啊,站长你上面的代码我在xshell连接工具上执行都没用啊!

    qi 回复:

    @yooujiao, 恐怕无法像在VPS上安装Let’s Encrypt成功。你可以采取在线生成Let’s Encrypt的SSL证书,然后再进入到Nginx修改配置文件,redhat openshift的Shell权限有限。

    这是农场的第 43 块农田,部落批准 [yooujiao] 在[2016-11-6 13:39]开垦完成.
  • yooujiao 3

    站长,怎么在线生成证书啊

    qi 回复:

    @yooujiao, 试试这个:https://www.sslforfree.com/,可以直接在线生成SSL证书。

    这是农场的第 44 块农田,部落批准 [yooujiao] 在[2016-11-6 21:48]开垦完成.
  • 管理员,按照按照本文的方法来安装,不成功,是不是和DNS有关呢?

    qi 回复:

    @一九五网, 这个要看提示什么错误?现在来说DNSPOD已经不存在DNS验证不成功的问题了。

    这是农场的第 45 块农田,部落批准 [一九五网] 在[2016-11-6 21:52]开垦完成.
  • 直接执行三、利用脚本快速获取Let’s Encrypt SSL证书,如何知道Let’s Encrypt免费SSL证书保存位置,我用阿里云官方的aliyun linux系统

    qi 回复:

    @一九五网, 保存在“/etc/letsencrypt/live/根域名/” 目录下

    一九五网 回复:

    @qi, 已经成功申请,就是不知道怎么自动更新

    qi 回复:

    @一九五网, 更新不用担心,这里有一个官方的教程可以看看,只需要一个命令,根据你的VPS的系统来选择:https://certbot.eff.org/

    这是农场的第 46 块农田,部落批准 [一九五网] 在[2016-11-7 02:24]开垦完成.
  • yooujiao 3

    我已经获得证书了,如果安装到openshift空间上啊

    qi 回复:

    @yooujiao, openshift免费用户不支持安装自己的SSL证书。

    这是农场的第 47 块农田,部落批准 [yooujiao] 在[2016-11-7 20:17]开垦完成.
  • yooujiao 3

    那算了,不用红帽的空间了

    这是农场的第 48 块农田,部落批准 [yooujiao] 在[2016-11-7 20:57]开垦完成.
  • 王麻子

    我有个问题 我没有域名 只是在本地测试 还能绑定ssl证书吗 我在做一个公司内部的管理系统 一般走的是内网 但是对安全级别要求比较高 需要https 请问 没有域名已绑https吗

    qi 回复:

    @王麻子, 没有域名是不行的,SSL是需要域名来申请的。不过,如果你自己走的内网的话,你完全可以在服务器直接生成SSL证书,这样直接使用IP就可以访问。安全性是可以保证的,但是由于是自己生成的SSL证书,浏览器可能会报不受信任,还需要浏览器作一番调试即可。

    这是农场的第 49 块农田,部落批准 [王麻子] 在[2016-11-30 12:24]开垦完成.
  • 您是用军哥的一键包还是用oneinstack呢?

    qi 回复:

    @盒子小栈, 用的oneinstack,之前用的是LNMP,但是还是没有oneinstack好。

    这是农场的第 50 块农田,部落批准 [盒子小栈] 在[2016-12-5 14:53]开垦完成.
  • 经测试,阿里云DNS安装let’s encrypt不会报错

    qi 回复:

    @qiuyming, 以前会报错,现在国内的DNS都可以了。而且现在Lets的证书的安装方法也不一样了,官方提供了更简单的安装工具,几个命令就可以安装好了。

    这是农场的第 51 块农田,部落批准 [qiuyming] 在[2017-1-26 09:02]开垦完成.
  • Aimer 4

    提醒一下qi姐,这个链接失效了http://img.acgbuster.com/images/2017/01/29/53134646ed7157687666f480d80d7111.png
    然后我想问一下,那个脚本现在还能用吗?我也是用的oneinstack

    这是农场的第 52 块农田,部落批准 [Aimer] 在[2017-1-29 09:49]开垦完成.
  • Aimer 4

    说一下我遇到的问题在输入运行命令./letsencrypt.sh letsencrypt.conf以后返回:
    Generating RSA private key, 4096 bit long modulus
    …………………………++
    ……….++
    e is 65537 (0x10001)
    Generate domain key…
    Generating RSA private key, 2048 bit long modulus
    …………+++
    …+++
    e is 65537 (0x10001)
    Generate CSR…www.csr
    Traceback (most recent call last):
    File “/tmp/acme_tiny.py”, line 2, in
    import argparse, subprocess, json, os, sys, base64, binascii, time, hashlib, re, copy, textwrap, logging
    ImportError: No module named argparse

    这是农场的第 53 块农田,部落批准 [Aimer] 在[2017-1-29 17:07]开垦完成.
  • Aimer 4

    问题已经解决了,用的是Certbot,我把我的方法贴一下:
    首先要说明一下几点:
    1.存在一个已经建立的虚拟主机
    2.我用的是oneinstack
    3.Python的版本是2.7以下(如果是2.7以上SSL证书会自动安装,不用手动的)
    4.使用Certbot脚本
    ————-分界线————————————–
    过程:
    1.去Certbot的官网找到与web环境相应的脚本(官网qi姐已经贴出来了)
    2.按照官网的步骤来:(这是CentOS6 ,Nginx的脚本,不要直接复制哦,要按照自己的情况来)
    # wget https://dl.eff.org/certbot-auto
    # chmod a+x certbot-auto
    $ ./certbot-auto
    ——————-分界线———————–
    然后Python版本低于2.7的服务器就会出现问题了
    Certbot会报错,代码如下:
    Installing Python packages…
    Installation succeeded.
    /root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
    DeprecationWarning
    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Failed to find apachectl in PATH: /usr/local/nginx/sbin:/usr/local/php/bin:/usr/local/mysql/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
    /root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/main.py:568: DeprecationWarning: BaseException.message has been deprecated as of Python 2.6
    return e.message
    Certbot doesn’t know how to automatically configure the web server on this system. However, it can still get a certificate for you. Please run “certbot-auto certonly” to do so. You’ll need to manually configure your web server to use the resulting certificate.
    ——————-分界线————————–
    我们不用管它,因为他说了,你可以手动安装SSL,那我们就手动安装
    ——————-分界线——————————
    输入命令:
    # ./certbot-auto certonly
    然后它依旧会报错,那我们依旧不管他
    继续进行命令,因为我们是手动配置
    ——————–分界线——————————–
    再输入上面的命令以后,会出现选项,一个是独立服务器,一个是web服务
    我们选择1,web服务
    它会要求我们输入email(可以不输入),那我们输入email
    ———————–分界线—————————–
    接下来它会要求我们输入域名
    输入域名
    ————————分界线—————————
    然后它会要求我们给出域名所在的根目录
    用的oneinstack的话就输入
    /data/wwwroot/你的域名
    ————————-分界线———————–
    返回如下代码,获得SSL 证书:
    IMPORTANT NOTES:
    – Congratulations! Your certificate and chain have been saved at
    /etc/letsencrypt/live/ex.acgbuster.com/fullchain.pem. Your cert
    will expire on 2017-05-02. To obtain a new or tweaked version of
    this certificate in the future, simply run certbot-auto again. To
    non-interactively renew *all* of your certificates, run
    “certbot-auto renew”
    – If you like Certbot, please consider supporting our work by:

    Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
    Donating to EFF:
    ————————–分界线——————————-
    然后就根据qi姐说的,替换Nginx的SSL的位置
    重启Nginx就OK了

    注:我没有尝试给证书续期,我输入
    ./certbot-auto renew 命令时它提醒我,证书的due还没有到,不用续期,但是我发现,它告诉我Python的版本不支持脚本,所以我并不知道续命能否成功
    —————分界线——————————
    如果看不明白的话可以看看原文:
    https://www.qxdnbgxb.cn/archives/45

    最后求qi姐教一下怎么升级Python的版本啊QAQ

    妄想7研究所 回复:

    @Aimer, 只能从官网下载然后手动安装吧【笑哭】

    Aimer 回复:

    @妄想7研究所, 真的吗……我Python的版本低,你不要骗我哦(滑稽)

    qi 回复:

    @Aimer, 不升级不影响续期SSL的。一般是SSL快到期的一个月内执行续期就可以成功了。升级Python也不复杂,需要到官网下载新的包然后重新编译。

    这是农场的第 54 块农田,部落批准 [Aimer] 在[2017-2-1 17:31]开垦完成.
  • wkl17

    CDN站点是不是搞不了?因为证书自动签发工具在签发过程中会生成验证内容,但会返回400错误。可惜了,StartSSL不被Safari和Chrome认可。是否还有被主流 浏览器所认可的FreeSSL?

    qi 回复:

    @wkl17, 使用CDN的网站先把CDN关闭了就正常了。不过,后续启用CDN的话,你需要找一个支持上传SSL的CDN。你用的是付费的CDN的话,一般是支持的。

    这是农场的第 55 块农田,部落批准 [wkl17] 在[2017-2-27 04:12]开垦完成.
  • 请教一下,签到的证书是www.XX.com,如何让另外的二级域名如y.xx.com也能正常显示?现在二级域名显示不安全,chrome不能直接访问

    这是农场的第 56 块农田,部落批准 [叶子] 在[2017-6-6 11:00]开垦完成.
看贴要回贴有N种理由!看帖不回贴的后果你懂得的!


评论内容 (*必填):
(Ctrl + Enter提交)   

部落快速搜索栏

各类专题梳理

网站导航栏

X

返回顶部