阿里云
发表主题 回复主题
  • 3064阅读
  • 2回复

[基础常识]【云计算的1024种玩法】使用阿里云解析 + RAM 快速签署 Let's Encrypt 证书

级别: 论坛版主
发帖
9333
云币
14095
— 本帖被 不靠谱贝贝 设置为精华(2018-01-25) —
X=JSqO6V9  
*yf+5q4t  
前言 +-oXW>`&  
S)~h|&A(  
Gzs x0%`)  
随着互联网的发展,我们对更安全更快速的互联网有了很高的要求,相比大家对网页劫持和网页恶意挂马一定是深恶痛绝了吧,那么怎么杜绝呢?通过 HTTPS 就可以简单有效的杜绝这些行为,当然了,一些高级的劫持手段还是防不胜防。 $DMeUA\av  
而且 HTTPS 也有非常多的福利,比如说浏览器的 安全 符号加持,搜索引擎的 SEO 加权等等,如下图的浏览器标识: 4@bL` L)  
)\s:.<?EQ  
V6Q[Y>84~a  
如下图的搜索引擎移动加权的 AMP/MIP 技术依赖于 HTTPS: .Wb),  
2 OGg`1XX  
q!FJP9x  
而 HTTPS 则是依赖于 SSL 证书的,通过对应证书和私钥来实现传输的安全,技术的原理由于篇幅关系就不赘述了大家可以在云栖社区搜索 HTTPS 查看相关文章。 45_zO#  
uT=sDWD :  
要求 & 收获 TeG'cKz  
4S9AXE6  
O[-wm;_(=*  
需要使用到的产品:
  1. ECS/轻量应用服务器(安装任意 Linux 发行版镜像)
  2. 域名(仅需使用阿里 DNS 即可)
T$'Ja'9Kj  
通过本文你将讲学到:
  1. 使用云解析(DNS)
  2. 使用访问控制(RAM)
  3. 使用 ACME 技术
  4. 快速签发 Let's Encrypt 证书
1 iE  
如果你是大学生且还没有 ECS,可以使用: 0w\gxd~'  
mjH8q&szf  
云翼计划 2O4U ytN  
J4x1qY)Y&v  
?SS?I  
学生用户可以在阿里云官网上进行学生认证后购买一定配置的ECS,仅需9.9元每月,学生用户无需担心花费过多用在服务问题 '1bdBx\<.  
学生用户在经过学生认证过后就可以在相关网址进行购买,网址为:  g\n@(T$)  
https://promotion.aliyun.com/ntms/campus2017.html %Uuhi&PA-l  
买好了服务器就可以去刚刚注册好的账号管理里的管理控制台去查看服务器以及它的一些配置。 #opFUX-  
如果你有较好的芝麻信用分记录且还没有 ECS,可以使用: cDLS)  
)L^WD$"'Q  
阿里云免费套餐: m,8A2;&,8  
:p OX,  
l%;)0gT  
个人新用户可以在 云栖社区聚能聊 获取免费产品邀请码(还有其他丰厚礼品),免费体验 7 款阿里云明星产品六个月的使用资格:https://free.aliyun.com/ Fnr*.k  
企业新用户完成企业认证可以可以费体验 10 款阿里云明星产品六个月的使用资格:https://free.aliyun.com/ 9B<y w.  
jb77uH_  
教程 iT I W;Cv  
   qxE~Moht  
O^ f[ ugs  
RAM 设置 .w&{2,a3  
CM7j^t  
hcM 0?=  
使用 RAM 可以只为一个产品,甚至是一个产品中一个内容设置管理权限,例如我们可以使用 RAM 分配一个只能管理 DNS 的账号,或者分配一个只能管理 DNS 下一个托管的域名的账号。 pcL02W|J  
这样就可以有效的避免因为 AccessKey 泄露而导致的全局风险。希望大家千万不要怕麻烦,经验告诉我,节省这一分钟可能要百倍千倍的还回来! &oNy~l o  
一、 进入 访问控制(RAM) 创建一个专门为 OSS 准备的用户,一定要记录好 AccessKeyID 和 AccessKeySecret ?EKYKLwr  
lHZf'P_Wx  
Pbz-I3+66  
二、 点击 策略管理,然后点击 新建授权策略 g_.BJ>Uv  
U<o,`y[Tn  
OHe<U8iu%  
三、 直接点击 空白模板,然后输入 授权策略名称 后,输入策略内容如下面:
引用
{ %!x\|@C  
  "Version": "1", p`XI(NI  
  "Statement": [ !*EHr09N7  
    { !t[X/iu  
      "Action": "alidns:*", 5Ss=z  
      "Resource": "acs:alidns:*:*:domain/mf8.biz", m<r.sq&;  
      "Effect": "Allow" YAd.i@^  
    }, 0Ac]&N d`  
    { }1epn#O_4  
      "Action": [ k1B7uA'h"G  
        "alidns:DescribeSiteMonitorIspInfos", %-H  
        "alidns:DescribeSiteMonitorIspCityInfos",  03_tt7  
        "alidns:DescribeSupportLines", ,I'Y)SLx  
        "alidns:DescribeDomains" ~M,nCG^4  
      ], C %y AMQ  
      "Resource": "acs:alidns:*:*:*",  8tLkJOu  
      "Effect": "Allow" l $MX \  
    } eDIjcZ  
  ] e)>Z&e,3  
}
5-aCNAF2  
aCy2 .Qn  
注意第六行的"Resource": "acs:alidns:*:*:domain/mf8.biz", domain/mf8.biz 就是需要单独管理的域名,将它换成己的域名即可。 O*!+D-  
A5B 5pJ  
D",ZrwyJ  
然后点击 新建授权策略 保存 2"JIlS;J}7  
四、 为该用户进行授权 x~A""*B~  
z2S53^C*  
选择我我们刚才创建的授权策略就行 vpTS>!i  
ogDyrY}]  
i%v^Zg&FU  
ok,RAM 的设置到这里就完成了,第一次学习可能要个几分钟,到后面就是一分钟的事情。 e#SNN-hKsJ  
其他阿里云产品的 RAM 规则怎么办呢? 搜索: 产品名称 + RAM 就一定有你想要的答案! 如果你想要的产品没有 RAM 权限,可以私信我帮你提。 Kl\A&O*{  
H&`p9d*(e  
ACME 设置 fHR1ku y  
=i\~][-  
NTls64AS.  
OK,现在我们要到 ECS 上进行 ECS 的签发操作了,这里我们使用 Neilpang/acme.sh 作为申请 Let's Encrypt 的免费 ECC 证书。 'I*F(4x  
如果你还不会远程连接阿里云 ECS 可以参考: % UY=VE\F  
【云计算的1024种玩法】使用 DMS 只要一个浏览器轻松搞定运维任务【云计算的1024种玩法】ECS和轻量应用服务器的远程控制入门 23&;28)8  
一、运行下面代码下载 acme.sh:
  1. git clone https://github.com/Neilpang/acme.sh.git
  2. cd acme.sh
{#0B~Zr  
bG;vl; C  
二、 然后申明一下刚才我们通过 RAM 实现的 AccessKey : C&K%Q3V  
  1. export Ali_Key="ADBIkEeexNshGF9t"
  2. export Ali_Secret="E7crn0HT3l11WP87dLF70fN6tmf8biz"
,5H$Tm,6\S  
&I<R|a  
;m{[9i` 2  
三、 然后就可以开始签发证书了,这句话就是通过 阿里云云解析 的 API 给 mf8.biz 和 www.mf8.biz 两个域名签发证书:
  1. ./acme.sh --issue --dns dns_ali -d mf8.biz -d www.mf8.biz
.V 9E@_(  
#](ML:!  
如果签署 ECC 证书就可以使用:
  1. ./acme.sh --issue --dns dns_ali -d mf8.biz -d www.mf8.biz --keylength ec-256
WcbJ4Ore  
Y=/HsG\W]  
四、 然后等待几分钟,我们可以喝杯咖啡,做个眼保健操,逃~,等待证书的自动签发。 ?^5W.`Y2i  
五、 安装一下证书: u A*Op45  
  1. ./acme.sh  --installcert  -d mf8.biz -d www.mf8.biz   \
  2.         --keypath   /usr/local/openresty/nginx/conf/ssl/mf8.biz.key \
  3.         --fullchainpath /usr/local/openresty/nginx/conf/ssl/mf8.biz.crt \
  4.         --reloadcmd  "systemctl restart openresty"
0XvMaQXQF  
Td X6<fVV  
W^P%k:anK  
解释一下: |`E\$|\p  
--installcert 就是签署给那个域名的--keypath 就是储存 key 文件的路径--fullchainpath 就是储存 crt 文件的路径--reloadcmd 就是证书所应用的软件的重启命令,例如我们使用 openresty 作为 Web 软件,那么就输入这个命令,方便以后证书续期后软件自动帮助重启 Uiv;0Tovl  
OK,这样我们就快速获得了一枚 Let's Encrypt 证书
级别: 小白
发帖
19
云币
31
只看该作者 沙发  发表于: 01-23
Re【云计算的1024种玩法】使用阿里云解析RAM 快速签署 Lets Encrypt 证
学习了!!!
级别: 架构狮
发帖
1240
云币
2013
只看该作者 板凳  发表于: 01-25
Re:【云计算的1024种玩法】使用阿里云解析 + RAM 快速签署 Let's Encrypt 证 ..
学习了!!!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个