申请 SSL 证书,确保可使用 HTTPS 访问域名
最编程
2024-03-19 12:38:53
...
Acme 脚本申请证书
一、环境安装(Debian/Ubuntu或CentOS)
1.Debian/Ubuntu命令
apt update -y
apt install -y curl
apt install -y socat2.CentOS命令
yum update -y
yum install -y curl
yum install -y socat二、安装 Acme 脚本
curl https://get.acme.sh | shxxx@xxx.com 填写自己的邮箱
~/.acme.sh/acme.sh --register-account -m xxx@xxx.com三、验证申请
下面代码中的 xxx.com 均为自己申请并解析过的域名
(复制的时候,别忘记改成自己的!!!!!!!!)
下面验证申请 我在这里使用的 方式1
方式1:监听80 端口验证(已测试)
执行下面这条命令前,保证80端口没有被占用(例如nginx),Acme.sh伪装成 WebServer,临时监听在 80 端口,进行验证。验证完后,80端口会自动再次空闲出来。
注意:一定要把80端口空闲出来,有nginx的 先把nginx关了 (pkill -9 nginx)
~/.acme.sh/acme.sh --issue -d www.xxx.com --standalone方式2:Nginx方式验证
执行下面这条命令前,保证Nginx的配置文件已经配置好自己解析过的域名,并已启动Nginx
Nginx如何安装可以参考这个:Nginx在Linux下载安装及部署_学弟不想努力了-****博客
~/.acme.sh/acme.sh --issue -d www.xxx.com --nginx方式3:HTTP方式验证
执行下面这条命令前,保证解析过域名能正常访问
原理:Acme 自动在你的网站根目录下放置一个文件,这个文件被互联网访问,来验证你的域名所有权,完成验证,然后生成证书
~/.acme.sh/acme.sh --issue -d xxx.com -d www.xxx.com --webroot /home/cert/四、安装证书到指定文件夹
生成的证书+秘钥 都默认在Acme的安装目录下的:~/.acme.sh/
不要直接使用证书+秘钥,先把证书+秘钥移动到其他位置
使用 --install-cert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置
如下:将证书+秘钥,移动到 /root 目录下
注意!!!
这个存放这俩文件的路径(/home/cert/private.key 和/home/cert/cert.crt ),可以换其他路径,文件也可以换成其他名字,但必须和Nginx配置中的一致!!
~/.acme.sh/acme.sh --installcert -d www.xxx.com --key-file /home/cert/private.key --fullchain-file /home/cert/cert.crt五、更新 Acme 脚本
目前由于 acme 协议和 letsencrypt CA 都在频繁的更新,因此 Acme.sh 也经常更新以保持同步;
始终保持 Acme.sh 保持最新版本;
手动升级:
~/.acme.sh/acme.sh --upgrade自动升级
~/.acme.sh/acme.sh --upgrade --auto-upgrade关闭自动升级
~/.acme.sh/acme.sh --upgrade --auto-upgrade 0六、 Nginx配置SSL
保证Nginx已安装。并且已经安装SSL(http_gzip_static_module)模块,并能正常使用
server {
listen 80;
# 替换成自己的域名
server_name xxx.com www.xxx.com;
# 统一指向https协议
rewrite ^(.*) https://$server_name$1 permanent;
}
server {
# 服务器端口使用443,开启ssl, 这里ssl就是上面安装的ssl模块
listen 443 ssl;
# 域名,多个以空格分开,替换成自己的域名
server_name xxx.com www.xxx.com;
# ssl证书地址
# pem文件的路径,替换成自己的证书路径
ssl_certificate /home/cert/cert.crt;
# key文件的路径,替换成自己的秘钥路径
ssl_certificate_key /home/cert/private.key;
# ssl验证相关配置
# 缓存有效期
ssl_session_timeout 5m;
# 加密算法
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
#安全链接可选的加密协议
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#使用服务器端的首选算法
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}七、 自动更新SSL证书
证书目前会90天以后会自动更新,避免每次过期都需要手动去更新
为了节省效率,配置自动更新SSL证书有效期
八、 手动更新新SSL证书
命令依次如下,基本还是重复上面的步骤二、三、四
注意:
1.如果监听80端口的方式,记得先把80服务杀死,再执行下面命令
2.邮箱、域名、存放路径
~/.acme.sh/acme.sh --register-account -m xxx@xx.com
~/.acme.sh/acme.sh --issue -d www.xxx.com --standalone
~/.acme.sh/acme.sh --installcert -d www.xxx.com --key-file /home/cert/private.key --fullchain-file /home/cert/cert.crt上一篇: 人工智能需要哪些数学基础?
下一篇: 184 心脏移植
推荐阅读
-
如何快速申请用于 HTTPS 访问的 SSL 证书?
-
申请 SSL 证书,确保可使用 HTTPS 访问域名
-
【Netty】「萌新入门」(七)ByteBuf 的性能优化-堆内存的分配和释放都是由 Java 虚拟机自动管理的,这意味着它们可以快速地被分配和释放,但是也会产生一些开销。 直接内存需要手动分配和释放,因为它由操作系统管理,这使得分配和释放的速度更快,但是也需要更多的系统资源。 另外,直接内存可以映射到本地文件中,这对于需要频繁读写文件的应用程序非常有用。 此外,直接内存还可以避免在使用 NIO 进行网络传输时发生数据拷贝的情况。在使用传统的 I/O 时,数据必须先从文件或网络中读取到堆内存中,然后再从堆内存中复制到直接缓冲区中,最后再通过 SocketChannel 发送到网络中。而使用直接缓冲区时,数据可以直接从文件或网络中读取到直接缓冲区中,并且可以直接从直接缓冲区中发送到网络中,避免了不必要的数据拷贝和内存分配。 通过 ByteBufAllocator.DEFAULT.directBuffer 方法来创建基于直接内存的 ByteBuf: ByteBuf directBuf = ByteBufAllocator.DEFAULT.directBuffer(16); 通过 ByteBufAllocator.DEFAULT.heapBuffer 方法来创建基于堆内存的 ByteBuf: ByteBuf heapBuf = ByteBufAllocator.DEFAULT.heapBuffer(16); 注意: 直接内存是一种特殊的内存分配方式,可以通过在堆外申请内存来避免 JVM 堆内存的限制,从而提高读写性能和降低 GC 压力。但是,直接内存的创建和销毁代价昂贵,因此需要慎重使用。 此外,由于直接内存不受 JVM 垃圾回收的管理,我们需要主动释放这部分内存,否则会造成内存泄漏。通常情况下,可以使用 ByteBuffer.clear 方法来释放直接内存中的数据,或者使用 ByteBuffer.cleaner 方法来手动释放直接内存空间。 测试代码: public static void testCreateByteBuf { ByteBuf buf = ByteBufAllocator.DEFAULT.buffer(16); System.out.println(buf.getClass); ByteBuf heapBuf = ByteBufAllocator.DEFAULT.heapBuffer(16); System.out.println(heapBuf.getClass); ByteBuf directBuf = ByteBufAllocator.DEFAULT.directBuffer(16); System.out.println(directBuf.getClass); } 运行结果: class io.netty.buffer.PooledUnsafeDirectByteBuf class io.netty.buffer.PooledUnsafeHeapByteBuf class io.netty.buffer.PooledUnsafeDirectByteBuf 池化技术 在 Netty 中,池化技术指的是通过对象池来重用已经创建的对象,从而避免了频繁地创建和销毁对象,这种技术可以提高系统的性能和可伸缩性。 通过设置 VM options,来决定池化功能是否开启: -Dio.netty.allocator.type={unpooled|pooled} 在 Netty 4.1 版本以后,非 Android 平台默认启用池化实现,Android 平台启用非池化实现; 这里我们使用非池化功能进行测试,依旧使用的是上面的测试代码 testCreateByteBuf,运行结果如下所示: class io.netty.buffer.UnpooledByteBufAllocator$InstrumentedUnpooledUnsafeDirectByteBuf class io.netty.buffer.UnpooledByteBufAllocator$InstrumentedUnpooledUnsafeHeapByteBuf class io.netty.buffer.UnpooledByteBufAllocator$InstrumentedUnpooledUnsafeDirectByteBuf 可以看到,ByteBuf 类由 PooledUnsafeDirectByteBuf 变成了 UnpooledUnsafeDirectByteBuf; 在没有池化的情况下,每次使用都需要创建新的 ByteBuf 实例,这个操作会涉及到内存的分配和初始化,如果是直接内存则代价更为昂贵,而且频繁的内存分配也可能导致内存碎片问题,增加 GC 压力。 使用池化技术可以避免频繁内存分配带来的开销,并且重用池中的 ByteBuf 实例,减少了内存占用和内存碎片问题。另外,池化技术还可以采用类似 jemalloc 的内存分配算法,进一步提升分配效率。 在高并发环境下,池化技术的优点更加明显,因为内存的分配和释放都是比较耗时的操作,频繁的内存分配和释放会导致系统性能下降,甚至可能出现内存溢出的风险。使用池化技术可以将内存分配和释放的操作集中到预先分配的池中,从而有效地降低系统的内存开销和风险。 内存释放 当在 Netty 中使用 ByteBuf 来处理数据时,需要特别注意内存回收问题。 Netty 提供了不同类型的 ByteBuf 实现,包括堆内存(JVM 内存)实现 UnpooledHeapByteBuf 和堆外内存(直接内存)实现 UnpooledDirectByteBuf,以及池化技术实现的 PooledByteBuf 及其子类。 UnpooledHeapByteBuf:通过 Java 的垃圾回收机制来自动回收内存; UnpooledDirectByteBuf:由于 JVM 的垃圾回收机制无法管理这些内存,因此需要手动调用 release 方法来释放内存; PooledByteBuf:使用了池化机制,需要更复杂的规则来回收内存; 由于池化技术的特殊性质,释放 PooledByteBuf 对象所使用的内存并不是立即被回收的,而是被放入一个内存池中,待下次分配内存时再次使用。因此,释放 PooledByteBuf 对象的内存可能会延迟到后续的某个时间点。为了避免内存泄漏和占用过多内存,我们需要根据实际情况来设置池化技术的相关参数,以便及时回收内存; Netty 采用了引用计数法来控制 ByteBuf 对象的内存回收,在博文 「源码解析」ByteBuf 的引用计数机制 中将会通过解读源码的形式对 ByteBuf 的引用计数法进行深入理解; 每个 ByteBuf 对象被创建时,都会初始化为1,表示该对象的初始计数为1。 在使用 ByteBuf 对象过程中,如果当前 handler 已经使用完该对象,需要通过调用 release 方法将计数减1,当计数为0时,底层内存会被回收,该对象也就被销毁了。此时即使 ByteBuf 对象还在,其各个方法均无法正常使用。 但是,如果当前 handler 还需要继续使用该对象,可以通过调用 retain 方法将计数加1,这样即使其他 handler 已经调用了 release 方法,该对象的内存仍然不会被回收。这种机制可以有效地避免了内存泄漏和意外访问已经释放的内存的情况。 一般来说,应该尽可能地保证 retain 和 release 方法成对出现,以确保计数正确。
-
使用Nginx实现一级和二级域名SSL证书的部署和通过HTTPS访问代理转发服务器
-
使用https访问:添加二级域名并注册SSL
-
如何将新购买的域名与个人博客绑定?如何延长免费一年的SSL证书,以使用HTTPS访问博客?