【技术种草】如何免费申请通配SSL证书

跟着我，继续走下去吧~ 0x02 申请通配型SSL证书实践 本节我们来实践下真实场景的ACME流程，通过letsencrypt客户端程序自动申请免费的通配型SSL证书，准备好了嘛~ 0、为域名添加通配解析记录 所谓通配解析就是的主机记录为*的A记录，对应解析的域名为*.your-domain.com，通常放在最后。记录值填写要指向云服务器的IP，而这台云服务器将是我们后续发起ACME验证流程的机器。 下图是腾讯云的dnspod解析服务配置通配解析记录的示例： dns_wildcard.png 1、安装Let's Encrypt客户端 登录云服务器，安装letsencrypt软件，它包含了ACME的客户端程序 后续的参数简要说明： --manual：表示交互式操作地获取证书 --preferred-challenges=dns：指定通过dns(DNS-01)方式验证，这是获取通配证书的目前唯一方式 --server 最重要的，你可以通过certbot工具申请通配SSL证书并部署在自己的网站上了，快去试试吧~ 0x04 参考资料 Let's Encrypt ACME protocol Challenge Type DNS

Let’s Encrypt ：2018年1月发布通配证书

Let’s Encrypt 将于 2018 年 1 月开始发放通配证书。通配证书是一个经常需要的功能，并且我们知道在一些情况下它可以使 HTTPS 部署更简单。 我们希望提供通配证书有助于加速网络向 100％ HTTPS 进展。 Let’s Encrypt 目前通过我们的全自动 DV 证书颁发和管理 API 保护了 4700 万个域名。 如果你对通配证书的可用性以及我们达成 100% 的加密网页的使命感兴趣，我们请求你为我们的夏季筹款活动（LCTT 译注：之前的夏季活动，原文发布于今年夏季）做出贡献。 通配符证书将通过我们即将发布的 ACME v2 API 终端免费提供。我们最初只支持通过 DNS 进行通配符证书的基础域验证，但是随着时间的推移可能会探索更多的验证方式。 我们鼓励人们在我们的社区论坛上提出任何关于通配证书支持的问题。 我们决定在夏季筹款活动中宣布这一令人兴奋的进展，因为我们是一个非营利组织，这要感谢使用我们服务的社区的慷慨支持。

给网站安装免费的通配SSL证书，轻松实现HTTPS并自动续签

https://zerossl.com/其实和原本的 Let's Encrypt 差不多，ZeroSSL 有一个可视化的界面，还是很不错的，可以直观查看 SSL 是否续期成功；但是有点尴尬的是，我绑定了多个通配域名后 两个方法都是很快速的方法，从结果上出发，最的区别就是DNS验证可以签署通配域名，也就是签署顶级二级域名后，其顶级二级域名分割出的三级域名都可以使用这个证书。 举个例子： 你为顶级二级域名example.com签署通配域名*.example.com，那么a.example.com和b.example.com都可以使用这个通配域名证书。 但是，使用acme.sh签署通配域名证书，只能使用DNS验证的方式进行签署。接下来，我们就来分别演示。HTTP验证签署acme.sh 其实可以自动HTTP验证。 DNS验证签署acme.sh还可以使用DNS验证签署的方式，支持通配域名，配合DNS厂商的API，也可以实现自动续期：sequenceDiagram participant U as 用户服务器 participant

前端基础-CSS通配选择器

通配选择器 语法： <style> *{} </style> 将页面中所有标签都选中 使用场景：通常设置*{padding:0;margin:0;}

Hadoop进阶之输入路径如何正则通配？

（6）过滤出某个时间范围内的数据比如2015-04-10到2015-04-17时间范围下的pv的数据 其实前个需求很简单都是一种需求： hadoop里的FileStatus类是支持路径通配的 end+" 比较日期： "+path+" 异常： "+e); } return false; } 总结： （1）如果只是简单的路径过滤，那么直接在路径中就使用正则通配是最简单强大的

华为认证数通高级证书实验

Logstash写入Elasticsearch发生的metadata通配异常问题

{[@metadata][_type]}" document_id => "%{[@metadata][_id]}" } } 问题三：未知索引名称导致logstash写入报不允许通配的问题 在另一种场景中，我们没有使用metadata的docinfo信息，但是还是会拿到不允许通配的报错： [2021-01-04T16:09:46,517][INFO ][logstash.outputs.elasticsearch

Lets encrypt 通配域名(二级, 三级)

今天主要介绍一款好用的免费域名证书软件 -- lets-encrypt 。 rhui-REGION-rhel-server-optional $yum install certbot python2-certbot-nginx $cd /etc/letsencrypt/archive 执行命令申请通配域名 (三级域名)： $certbot certonly --manual -d '*.k8s.example.com' --agree-tos --email xiayun@domain.com --server DNS的TXT验证 一般来说，类似aliyun SLB上只需要fullchain1|privkey1.pem这两个文件 一般将SSL配置上SLB之后，查看浏览器证书显示就是绿色正常的了 注意点：此类证书是有使用时间限制的 后续继续使用本文介绍的顺序创建一个新的相同域名证书就可以，也可以通过自动化脚本或者k8s的更新策略来更新SSL证书。后续继续更新······敬请期待！

K8S证书更换

重新生成证书 证书备份 cp -rp /etc/kubernetes /etc/kubernetes.bak 移除过期证书 rm -f /etc/kubernetes/pki/apiserver* rm etc/kubernetes/pki/etcd/server.* rm -rf /etc/kubernetes/pki/etcd/peer.* 备注：可以使用命令openssl x509 -in [证书全路径 ] -noout -text查看证书详情 在当前路径下新建config.yaml kind: MasterConfiguration apiVersion: kubeadm.k8s.io/v1alpha1 conf /tmp/ kubeadm alpha phase kubeconfig all --config config.yaml 重启kubelet systemctl restart kubelet 证书过期时间确认

电商收付通系列②，获取微信支付平台证书

注意，这里的证书区别于商户API证书，商户API证书是直接从商户后台下载查看的，而微信支付平台证书是通过电商收付通的证书接口获取的。 2、作用 这个证书有什么用？ 3、获取微信支付平台证书 注意：不同的商户，对应的微信支付平台证书是不一样的，平台证书会周期性更换。建议商户定时通过API下载新的证书，不要依赖人工更换证书。 HttpEntity httpEntity = response.getEntity(); result = EntityUtils.toString(httpEntity, "UTF-8" x509Certs; } 4、结果 1、接口返回的内容是json串 { "data": [{ "serial_no": "5157F09EFDC096DE15EBE81A47057A7232F1B8E1 image.png 上一篇：电商收付通系列①，对请求进行签名，拼接Authorization

Kubernetes(k8s)-证书介绍

这个图片里面的箭头在Kubernetes内部，都是双向证书，下面的内容来源于我多年前的一篇文章，本次编写进行了略为修改。 CA证书 简单来说就是证书的颁发机构，也可以叫根证书。 路径 解释 年限 /etc/kubernetes/pki/etcd/ca.crt etcd根证书 默认10年 /etc/kubernetes/pki/ca.crt k8s集群根证书 默认10年 /etc /kubernetes/pki/front-proxy-ca.crt 代理访问k8s根证书（较少使用） 默认10年 普通证书 就是由CA证书颁发的普通证书，直接应用于业务的，他也有有效期的，比如10年 etcd证书 ca.crt作为etcd的根证书，签发etcd对外提供服务的server证书和签发etcd节点之间同步使用的peer证书，kubelet向etcd发起健康检查的证书。 livenessProbe: failureThreshold: 8 httpGet: host: 127.0.0.1 path: /health

k8s证书到期处理

证书续期提示 当执行kubectl get nodes等提示 Unable to connect to the server: x509: certificate has expired or is not yet valid 既为k8s的证书到期的提示 使用kubeadm安装k8s时，默认生成的client certificate的有效期是1年。 续期 master节点：xxx.xxx.xxx.xxx 检查证书有效期 kubeadm alpha certs check-expiration 或 openssl x509 -in /etc/kubernetes /pki/apiserver.crt -noout -text |grep ' Not ' 备份证书 cp -rp /etc/kubernetes /etc/kubernetes.bak 重新生成证书 |k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd'|xargs docker restart 检测 systemctl status

K8S证书过期更新

K8S证书过期问题 K8S证书过期处理方法 Unable to connect to the server: x509: certificate has expired or is not yet valid 1、查看证书有效期： # kubeadm certs check-expiration 2、备份证书 # cp -rp /etc/kubernetes /etc/kubernetes.bak 3、直接重建证书 k8s版本1.15之前使用： # kubeadm alpha certs renew all k8s版本1.15之后使用： # kubeadm certs renew all 4、再次查看证书有效期 docker restart 容器的ID # docker restart `docker ps -a | grep -E 'apiserver|scheduler|controller-manager'` 8、 # systemctl status kubelet 或者 # kubectl get pods 至此k8s证书更新完成 ！！！！

Kubernetes(k8s)-证书续期

上一小节我们介绍了Kubernetes里面涉及到的证书，有的有效期是10年，有的有效期是1年，而且除了根证书是10年，实际业务使用的证书都是1年。如果证书到期，我们应该怎么续期呢？ 1.查看当前证书情况 kubeadm certs check-expiration 这个图里面显示的证书其实就是我们上一小节讲过的哪些证书主要包括： 3个ca证书，3个etcd证书，3个apiserver 证书，一个kubectl证书，一个controller-manager证书，一个scheduler证书，一个proxy启用代理证书。 通过以上命令，我们可以一键续期除kubelet外的所有证书，根证书不会续期。我们也可以手工续期某一个组件，只需要把最后的证书更换成为对应的证书名字即可。 kubeadm certs renew scheduler.conf 证书续期以后，当前应用程序还需要重启才会生效，静态pod的重启，参考我们前面讲过的Kubernetes(k8s)-静态pod介绍

k8s–证书签发

1.准备签发证书环境 运维主机 hdss-1-200.host.com上： 2.安装CFSSL 证书签发工具CFSSL:R1.2 cfssl下载地址 https://pkg.cfssl.org/R1.2 200 bin]# which cfssl /usr/bin/cfssl [root@hdss-1-200 bin]# which cfssl-json /usr/bin/cfssl-json 5.签发证书 root@hdss-1-200 opt]# mkdir certs [root@hdss-1-200 opt]# cd certs/ [root@hdss-1-200 certs]# 6.创建生成CA证书签名请求 .20年 } } 7.签发证书 [root@hdss-1-200 certs]# cfssl gencert -initca ca-csr.json 2021/02/08 12:13:54 ==\n-----END RSA PRIVATE KEY-----\n"} 8.做成承载式证书 [root@hdss-1-200 certs]# ls ca-csr.json [root@hdss-1-

IIS7不支持sni，图形界面不支持单域名证书的https站点指定hostname

http://aaa.shawyang.cc:80/ http://bbb.shawyang.cc:80/ https://aaa.shawyang.cc:443/ 图片.png 上图中的443绑定是通配型证书 /bbb.shawyang.cc:8080/ https://bbb.shawyang.cc:8443/ https://bbb.shawyang.cc:443/ 图片.png 上图中的443绑定的是通配型证书 p=80 通配证书(*.domain.com)通过特殊手段可以指定主机名，可以生效（同一个泛域名证书，多个子域名配到多个站点上，只用这一个泛域名证书是可以的） 单域名证书通过特殊手段虽然可以指定主机名了但是不生效 总之，IIS7上的SNI支持是不完整的，不适用多个单独的域名和单独的证书，只适用通配型证书。 6．最关键的一步，上一步设置*是为这一步铺垫 选了证书后，主机名可以写了，在设置*之前是不能的 7．行了，不同的证书就通过这种方式写上主机名了，然并卵 以上步骤是为通配证书而写的，单域名证书没办法

iOS10&Xcode8 推送证书问题

更新Xcode8适配iOS10之后，发布时邮件提醒我推送证书有问题： 似乎是APN的证书更新了，需要修正一下。 这里主要是发布时遇到问题，所以我们先只重新配置推送消息的发布证书，调试证书有需要的话之后还是一样的步骤。 所以我们选择发布的这个： 创建证书还是和以前一样，要本地的钥匙串中的证书助理来请求证书，名字和邮箱随便填，但是务必记得选择保存在磁盘，方便找到。然后提交到这个证书的申请文件中，就创建好证书了。 把证书下载下来，将钥匙串中过期的推送证书删掉，双击新证书安装。 然后要记得，Xcode 8需要在工程名->TARGET->Capabilities中开启Push Notifications： 开启时会自动检测证书，像图中一样都是勾就ok了。

使用kubekey 更新K8S证书

/build.sh 检查证书有效期 . k8s-master1 front-proxy-ca.crt Nov 05, 2030 02:56 UTC 8y k8s-master1 更新K8S证书 . kubernetes v1.15以上更新证书的方法 更新/etc/kubernetes/pki目录下的所有证书（不包含ca证书） 注意：需要在每一个节点上都更新 # 查看现有证书到期时间 $ kubeadm alpha certs check-expiration # 使用二进制更新证书 $ kubeadm alpha certs renew all # 每月的最后1天 crontab -e * *

kubeadm 更新k8s集群证书

初始化集群时指定证书有效期 如果你在初始化集群时需要指定证书的有效期，可以在 kubeadm 配置文件中指定证书的有效期。可以通过 --config 参数加载一个配置文件，并在该文件中设置证书有效期。 配置文件示例（kubeadm-config.yaml）：apiVersion: kubeadm.k8s.io/v1beta3kind: ClusterConfigurationcertificates: 更新已存在集群的证书有效期对于已存在的集群，kubeadm 提供了证书更新功能，可以续期集群中的证书，并指定新证书的有效期。 and etcd, so that they can use the new certificates.kubectl delete pod -n kube-system kube-apiserver-k8s-master kube-controller-manager-k8s-master kube-scheduler-k8s-master etcd-k8s-master重新拷贝admin.conf文件cp /etc/

k8s采坑记 - 证书过期之kubeadm重新生成证书

重新生成证书 证书备份 cp -rp /etc/kubernetes /etc/kubernetes.bak 移除过期证书 rm -f /etc/kubernetes/pki/apiserver* rm healthcheck-client.* rm -rf /etc/kubernetes/pki/etcd/server.* rm -rf /etc/kubernetes/pki/etcd/peer.* 重新生成证书 /etc/kubernetes/*.conf /tmp/ kubeadm alpha phase kubeconfig all 重启kubelet systemctl restart kubelet 证书过期时间确认