阿里云
技术周刊订阅频道
发表主题 回复主题
  • 1727阅读
  • 2回复

[基础常识]【云计算的1024种玩法】使用阿里云解析 + RAM 快速签署 Let's Encrypt 证书

级别: 论坛版主
发帖
9331
云币
14091
— 本帖被 不靠谱贝贝 设置为精华(2018-01-25) —
2%m BK  
C,r;VyW6BI  
前言 Lk8ek}o'  
d7upz]K9g  
TD0 B%  
随着互联网的发展,我们对更安全更快速的互联网有了很高的要求,相比大家对网页劫持和网页恶意挂马一定是深恶痛绝了吧,那么怎么杜绝呢?通过 HTTPS 就可以简单有效的杜绝这些行为,当然了,一些高级的劫持手段还是防不胜防。 ;6$jf:2m  
而且 HTTPS 也有非常多的福利,比如说浏览器的 安全 符号加持,搜索引擎的 SEO 加权等等,如下图的浏览器标识: %tGO?JMkd  
wi=v}R_  
gwMNYMI  
如下图的搜索引擎移动加权的 AMP/MIP 技术依赖于 HTTPS: ?fSG'\h>  
;A*]l' [-  
Jnov<+  
而 HTTPS 则是依赖于 SSL 证书的,通过对应证书和私钥来实现传输的安全,技术的原理由于篇幅关系就不赘述了大家可以在云栖社区搜索 HTTPS 查看相关文章。 m:2^= l4  
u6JM]kR  
要求 & 收获 Xx:"4l.w.  
Y$_B1_  
m-, x<bM?  
需要使用到的产品:
  1. ECS/轻量应用服务器(安装任意 Linux 发行版镜像)
  2. 域名(仅需使用阿里 DNS 即可)
usF.bkTp  
通过本文你将讲学到:
  1. 使用云解析(DNS)
  2. 使用访问控制(RAM)
  3. 使用 ACME 技术
  4. 快速签发 Let's Encrypt 证书
onzxx4bax  
如果你是大学生且还没有 ECS,可以使用: 4!?eRY  
Fx.=#bVX7  
云翼计划 +mn[5Y}:  
UaeXY+O  
NBGH_6DROw  
学生用户可以在阿里云官网上进行学生认证后购买一定配置的ECS,仅需9.9元每月,学生用户无需担心花费过多用在服务问题 {P_.~0pc*  
学生用户在经过学生认证过后就可以在相关网址进行购买,网址为: )SGq[B6@I  
https://promotion.aliyun.com/ntms/campus2017.html b ]KBgZ  
买好了服务器就可以去刚刚注册好的账号管理里的管理控制台去查看服务器以及它的一些配置。 4V`G,W4^J  
如果你有较好的芝麻信用分记录且还没有 ECS,可以使用: FZn w0tMq  
j#ab_3xH  
阿里云免费套餐: > ~O.@|  
NgPk&niM  
gPPkT"  
个人新用户可以在 云栖社区聚能聊 获取免费产品邀请码(还有其他丰厚礼品),免费体验 7 款阿里云明星产品六个月的使用资格:https://free.aliyun.com/ +I28|*K"  
企业新用户完成企业认证可以可以费体验 10 款阿里云明星产品六个月的使用资格:https://free.aliyun.com/ P&Vv/D  
6'f;-2  
教程 cvL;3jRo  
   J|73.&B  
+ZP7{%  
RAM 设置 eHUOU>&P]  
(tW`=]z-<  
~P-mC@C  
使用 RAM 可以只为一个产品,甚至是一个产品中一个内容设置管理权限,例如我们可以使用 RAM 分配一个只能管理 DNS 的账号,或者分配一个只能管理 DNS 下一个托管的域名的账号。 RViAwTvY  
这样就可以有效的避免因为 AccessKey 泄露而导致的全局风险。希望大家千万不要怕麻烦,经验告诉我,节省这一分钟可能要百倍千倍的还回来! G3T]`Atf  
一、 进入 访问控制(RAM) 创建一个专门为 OSS 准备的用户,一定要记录好 AccessKeyID 和 AccessKeySecret V0mn4sfs  
Q3?F(ER@  
Nh +H9  
二、 点击 策略管理,然后点击 新建授权策略 }jPSUdo  
JBZ@'8eqi]  
q) KKvO  
三、 直接点击 空白模板,然后输入 授权策略名称 后,输入策略内容如下面:
引用
{ ns4,@C$  
  "Version": "1", jPkn[W# 6  
  "Statement": [ \9EjClf o  
    { )4;`^]F  
      "Action": "alidns:*", $*m-R*kt  
      "Resource": "acs:alidns:*:*:domain/mf8.biz", _yR^*}xJb  
      "Effect": "Allow" _aeBauD  
    }, Tlr v={  
    { oXgcc*j  
      "Action": [ `Pnoxm'  
        "alidns:DescribeSiteMonitorIspInfos", N'=gep0V@  
        "alidns:DescribeSiteMonitorIspCityInfos", @C aG9]  
        "alidns:DescribeSupportLines", GC'O[q+  
        "alidns:DescribeDomains" Y_P!B^z3  
      ], `Q,H|hp;k;  
      "Resource": "acs:alidns:*:*:*", q5S9C%b  
      "Effect": "Allow" xgtR6E^k  
    } I%Z  
  ] O#r%>;3*  
}
TD_Oo-+\  
V(*(F7+  
注意第六行的"Resource": "acs:alidns:*:*:domain/mf8.biz", domain/mf8.biz 就是需要单独管理的域名,将它换成己的域名即可。 w4Z'K&d=  
1h5 Akq  
i@J ;G`  
然后点击 新建授权策略 保存 9N3eN  
四、 为该用户进行授权 #X"@<l4F  
+"VP-s0  
选择我我们刚才创建的授权策略就行 BDVtSs<7  
/Ci<xmP  
i}?>g-(  
ok,RAM 的设置到这里就完成了,第一次学习可能要个几分钟,到后面就是一分钟的事情。 #.[k=dj   
其他阿里云产品的 RAM 规则怎么办呢? 搜索: 产品名称 + RAM 就一定有你想要的答案! 如果你想要的产品没有 RAM 权限,可以私信我帮你提。 ? =+WRjF  
9nbLg5P  
ACME 设置 4KrL{Z+}  
5kXYeP3:  
Aiea\j Bv  
OK,现在我们要到 ECS 上进行 ECS 的签发操作了,这里我们使用 Neilpang/acme.sh 作为申请 Let's Encrypt 的免费 ECC 证书。 :U x_qB  
如果你还不会远程连接阿里云 ECS 可以参考: Af{"pzY  
【云计算的1024种玩法】使用 DMS 只要一个浏览器轻松搞定运维任务【云计算的1024种玩法】ECS和轻量应用服务器的远程控制入门 "zy7C*)>r  
一、运行下面代码下载 acme.sh:
  1. git clone https://github.com/Neilpang/acme.sh.git
  2. cd acme.sh
,Y48[_ymm  
v.5+7,4  
二、 然后申明一下刚才我们通过 RAM 实现的 AccessKey : <0?W{3NqI  
  1. export Ali_Key="ADBIkEeexNshGF9t"
  2. export Ali_Secret="E7crn0HT3l11WP87dLF70fN6tmf8biz"
SX-iAS[<  
_J[P[(ab  
po7qmLq  
三、 然后就可以开始签发证书了,这句话就是通过 阿里云云解析 的 API 给 mf8.biz 和 www.mf8.biz 两个域名签发证书:
  1. ./acme.sh --issue --dns dns_ali -d mf8.biz -d www.mf8.biz
>F&47Yn  
sp`Dvqx0  
如果签署 ECC 证书就可以使用:
  1. ./acme.sh --issue --dns dns_ali -d mf8.biz -d www.mf8.biz --keylength ec-256
{]|J5Dgfe  
-Y;3I00(  
四、 然后等待几分钟,我们可以喝杯咖啡,做个眼保健操,逃~,等待证书的自动签发。 gPc=2  
五、 安装一下证书: Wo ,?+I  
  1. ./acme.sh  --installcert  -d mf8.biz -d www.mf8.biz   \
  2.         --keypath   /usr/local/openresty/nginx/conf/ssl/mf8.biz.key \
  3.         --fullchainpath /usr/local/openresty/nginx/conf/ssl/mf8.biz.crt \
  4.         --reloadcmd  "systemctl restart openresty"
& ZB  
^sg,\zD 'X  
"C3/T&F  
解释一下: >yh2Lri  
--installcert 就是签署给那个域名的--keypath 就是储存 key 文件的路径--fullchainpath 就是储存 crt 文件的路径--reloadcmd 就是证书所应用的软件的重启命令,例如我们使用 openresty 作为 Web 软件,那么就输入这个命令,方便以后证书续期后软件自动帮助重启 <rSF*  
OK,这样我们就快速获得了一枚 Let's Encrypt 证书
级别: 小白
发帖
19
云币
31
只看该作者 沙发  发表于: 01-23
Re【云计算的1024种玩法】使用阿里云解析RAM 快速签署 Lets Encrypt 证
学习了!!!
级别: 架构狮
发帖
1240
云币
1988
只看该作者 板凳  发表于: 01-25
Re:【云计算的1024种玩法】使用阿里云解析 + RAM 快速签署 Let's Encrypt 证 ..
学习了!!!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 64 - 54 = ?
上一个 下一个