【云计算的1024种玩法】使用阿里云解析 + RAM 快速签署 Let's Encrypt 证书

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 随着互联网的发展,我们对更安全更快速的互联网有了很高的要求,相比大家对网页劫持和网页恶意挂马一定是深恶痛绝了吧,那么怎么杜绝呢?通过 HTTPS 就可以简单有效的杜绝这些行为,当然了,一些高级的劫持手段还是防不胜防。

前言

随着互联网的发展,我们对更安全更快速的互联网有了很高的要求,相比大家对网页劫持和网页恶意挂马一定是深恶痛绝了吧,那么怎么杜绝呢?通过 HTTPS 就可以简单有效的杜绝这些行为,当然了,一些高级的劫持手段还是防不胜防。

而且 HTTPS 也有非常多的福利,比如说浏览器的 安全 符号加持,搜索引擎的 SEO 加权等等,如下图的浏览器标识:

image

如下图的搜索引擎移动加权的 AMP/MIP 技术依赖于 HTTPS:

image

而 HTTPS 则是依赖于 SSL 证书的,通过对应证书和私钥来实现传输的安全,技术的原理由于篇幅关系就不赘述了大家可以在云栖社区搜索 HTTPS 查看相关文章。

要求 & 收获

需要使用到的产品:

  1. ECS/轻量应用服务器(安装任意 Linux 发行版镜像)
  2. 域名(仅需使用阿里云 DNS 即可)

通过本文你将讲学到:

  1. 使用云解析(DNS)
  2. 使用访问控制(RAM)
  3. 使用 ACME 技术
  4. 快速签发 Let's Encrypt 证书

如果你是大学生且还没有 ECS,可以使用:

云翼计划

学生用户可以在阿里云官网上进行学生认证后购买一定配置的ECS,仅需9.9元每月,学生用户无需担心花费过多用在服务器的问题。

学生用户在经过学生认证过后就可以在相关网址进行购买,网址为:

https://promotion.aliyun.com/ntms/campus2017.html

买好了服务器就可以去刚刚注册好的账号管理里的管理控制台去查看服务器以及它的一些配置。

如果你有较好的芝麻信用分记录且还没有 ECS,可以使用:

阿里云免费套餐:

个人新用户可以在 云栖社区聚能聊 获取免费产品邀请码(还有其他丰厚礼品),免费体验 7 款阿里云明星产品六个月的使用资格:https://free.aliyun.com/

企业新用户完成企业认证可以可以费体验 10 款阿里云明星产品六个月的使用资格:https://free.aliyun.com/

教程

RAM 设置

使用 RAM 可以只为一个产品,甚至是一个产品中一个内容设置管理权限,例如我们可以使用 RAM 分配一个只能管理 DNS 的账号,或者分配一个只能管理 DNS 下一个托管的域名的账号。

这样就可以有效的避免因为 AccessKey 泄露而导致的全局风险。希望大家千万不要怕麻烦,经验告诉我,节省这一分钟可能要百倍千倍的还回来!

一、 进入 访问控制(RAM) 创建一个专门为 OSS 准备的用户,一定要记录好 AccessKeyIDAccessKeySecret

image

二、 点击 策略管理,然后点击 新建授权策略

image

三、 直接点击 空白模板,然后输入 授权策略名称 后,输入策略内容如下面:

{
  "Version": "1",
  "Statement": [
    {
      "Action": "alidns:*",
      "Resource": "acs:alidns:*:*:domain/mf8.biz",
      "Effect": "Allow"
    },
    {
      "Action": [
        "alidns:DescribeSiteMonitorIspInfos",
        "alidns:DescribeSiteMonitorIspCityInfos",
        "alidns:DescribeSupportLines",
        "alidns:DescribeDomains"
      ],
      "Resource": "acs:alidns:*:*:*",
      "Effect": "Allow"
    }
  ]
}

注意第六行的"Resource": "acs:alidns:*:*:domain/mf8.biz", domain/mf8.biz 就是需要单独管理的域名,将它换成自己的域名即可。

image

然后点击 新建授权策略 保存

四、 为该用户进行授权

image

选择我我们刚才创建的授权策略就行

image

ok,RAM 的设置到这里就完成了,第一次学习可能要个几分钟,到后面就是一分钟的事情。

其他阿里云产品的 RAM 规则怎么办呢? 搜索: 产品名称 + RAM 就一定有你想要的答案! 如果你想要的产品没有 RAM 权限,可以私信我帮你提。

ACME 设置

OK,现在我们要到 ECS 上进行 ECS 的签发操作了,这里我们使用 Neilpang/acme.sh 作为申请 Let's Encrypt 的免费 ECC 证书。

如果你还不会远程连接阿里云 ECS 可以参考:

【云计算的1024种玩法】使用 DMS 只要一个浏览器轻松搞定运维任务
【云计算的1024种玩法】ECS和轻量应用服务器的远程控制入门

一、运行下面代码下载 acme.sh

git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh

二、 然后申明一下刚才我们通过 RAM 实现的 AccessKey :

export Ali_Key="ADBIkEeexNshGF9t"
export Ali_Secret="E7crn0HT3l11WP87dLF70fN6tmf8biz"

三、 然后就可以开始签发证书了,这句话就是通过 阿里云云解析 的 API 给 mf8.bizwww.mf8.biz 两个域名签发证书:

./acme.sh --issue --dns dns_ali -d mf8.biz -d www.mf8.biz

如果签署 ECC 证书就可以使用:

./acme.sh --issue --dns dns_ali -d mf8.biz -d www.mf8.biz --keylength ec-256

四、 然后等待几分钟,我们可以喝杯咖啡,做个眼保健操,逃~,等待证书的自动签发。

五、 安装一下证书:

./acme.sh  --installcert  -d mf8.biz -d www.mf8.biz   \
        --keypath   /usr/local/openresty/nginx/conf/ssl/mf8.biz.key \
        --fullchainpath /usr/local/openresty/nginx/conf/ssl/mf8.biz.crt \
        --reloadcmd  "systemctl restart openresty"

解释一下:

--installcert 就是签署给那个域名的
--keypath 就是储存 key 文件的路径
--fullchainpath 就是储存 crt 文件的路径
--reloadcmd 就是证书所应用的软件的重启命令,例如我们使用 openresty 作为 Web 软件,那么就输入这个命令,方便以后证书续期后软件自动帮助重启

OK,这样我们就快速获得了一枚 Let's Encrypt 证书

目录
相关文章
|
27天前
|
运维 持续交付 云计算
深入解析云计算中的微服务架构:原理、优势与实践
深入解析云计算中的微服务架构:原理、优势与实践
61 1
|
9天前
|
运维 安全 Cloud Native
阿里云云安全中心全面解析
阿里云云安全中心作为一款集持续监测、深度防御、全面分析、快速响应能力于一体的云上安全管理平台,为企业提供了全方位的安全保障。本文将详细介绍阿里云云安全中心的功能、应用场景、收费标准以及购买建议,帮助您更好地了解和利用这一强大的安全工具。
阿里云云安全中心全面解析
|
17天前
|
人工智能 运维 监控
阿里云联合中国信通院等单位发布首个云计算智能化可观测性能力成熟度模型标准
推动行业智能化落地,阿里云联合中国信通院及国内头部云厂商、观测厂商、各行业建设方,历时近 5 个月,共同编制《云计算智能化可观测性能力成熟度模型》,以规范和指导云计算环境下的智能可观测性建设实践,为企业实施云环境下的智能化可观测能力建设提供指导。
|
1月前
|
算法 安全 网络安全
国内外SSL证书较量:一站式全解析
本文探讨了国产SSL证书与国际SSL证书的区别,从加密算法、适用范围、性能、价格及本土化服务等多个角度进行了对比分析,指出两者各具优势,选择应基于网站的具体需求。
|
1月前
|
网络协议 网络安全 网络虚拟化
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算。通过这些术语的详细解释,帮助读者更好地理解和应用网络技术,应对数字化时代的挑战和机遇。
106 3
|
1月前
|
机器学习/深度学习 人工智能 弹性计算
阿里云GPU服务器全解析_GPU价格收费标准_GPU优势和使用说明
阿里云GPU云服务器提供强大的GPU算力,适用于深度学习、科学计算、图形可视化和视频处理等场景。作为亚太领先的云服务商,阿里云GPU云服务器具备高灵活性、易用性、容灾备份、安全性和成本效益,支持多种实例规格,满足不同业务需求。
310 2
|
1月前
|
存储 弹性计算 NoSQL
"从入门到实践,全方位解析云服务器ECS的秘密——手把手教你轻松驾驭阿里云的强大计算力!"
【10月更文挑战第23天】云服务器ECS(Elastic Compute Service)是阿里云提供的基础云计算服务,允许用户在云端租用和管理虚拟服务器。ECS具有弹性伸缩、按需付费、简单易用等特点,适用于网站托管、数据库部署、大数据分析等多种场景。本文介绍ECS的基本概念、使用场景及快速上手指南。
88 3
|
2月前
|
存储 应用服务中间件 云计算
深入解析:云计算中的容器化技术——Docker实战指南
【10月更文挑战第14天】深入解析:云计算中的容器化技术——Docker实战指南
88 1
|
2月前
|
运维 Cloud Native 持续交付
云原生技术解析:从IO出发,以阿里云原生为例
【10月更文挑战第24天】随着互联网技术的不断发展,传统的单体应用架构逐渐暴露出扩展性差、迭代速度慢等问题。为了应对这些挑战,云原生技术应运而生。云原生是一种利用云计算的优势,以更灵活、可扩展和可靠的方式构建和部署应用程序的方法。它强调以容器、微服务、自动化和持续交付为核心,旨在提高开发效率、增强系统的灵活性和可维护性。阿里云作为国内领先的云服务商,在云原生领域有着深厚的积累和实践。
76 0
|
2月前
|
监控 网络协议 数据挖掘
阿里云国际云解析DNS如何开启/关闭流量分析?
阿里云国际云解析DNS如何开启/关闭流量分析?

热门文章

最新文章

推荐镜像

更多