数字证书-理解

通过数字证书文件，理解数据证书的内容和用法。

视频说明：https://www.bilibili.com/video/BV1stpwzHEYT

参考：Nginx 服务器 SSL 证书安装部署（Linux）

推荐的视频

• ECC加密算法
• RSA加密算法
• 证书与PKI

B 站证书

查看 B 站证书入口

B 站证书-基本信息

B 站证书-详细信息

B 站证书-导出

根证书

申请证书

申请证书

以 200180.xyz 域名为例

DNS 验证

为了演示完整流程，选择 手动 DNS 验证

需要在 DNS 解析上添加记录信息

目的是验证有这个域名的所有权，方式是在 DNS 解析上添加记录

在 DNS 解析上添加记录

验证域名，获取证书

点击验证域名，1分钟左右会刷新页面，显示购买的证书信息

下载证书

点击下载证书，一般选择 Nginx 配置

下载的证书文件信息

解压文件后会看到证书信息

根证书

Nginx 配置证书

参考：Nginx 服务器 SSL 证书安装部署（Linux）

ANS.1 解析证书信息

ANS.1 解析在线1、ANS.1 解析在线2、ANS.1 解析在线3

Nginx 证书自动更新

这是以前的记录，使用的 Cloudflare DNS 解析域名，使用 acme.sh 定时检查证实是否过期，过期了申请新的证书。

安装 acme.sh

# 配置邮箱
# curl https://get.acme.sh | sh -s email=my@example.com
# 不配置邮箱
curl https://get.acme.sh | sh
# 设置别名
alias acme.sh=~/.acme.sh/acme.sh

邮箱用来通知证书是否续期成功，可以不配置邮箱，匿名申请证书。

acme.sh 在宿主机申请证书，并设置自动部署

建议只赋予单个 DNS zone 的编辑权限，避免泄漏导致更大风险。

export CF_Token="你的 Cloudflare API Token"
acme.sh --issue --dns dns_cf -d 200180.xyz --keylength ec-256

部署证书到 nginx 映射的目录，并设置证书更新后自动重启 nginx：

acme.sh --install-cert -d 200180.xyz \
  --key-file       /app/xxx/nginx_443/certs/200180.xyz.key \
  --fullchain-file /app/xxx/nginx_443/certs/200180.xyz_bundle.crt \
  --reloadcmd      "docker restart nginx"