HTTPS单向认证配置流程(Let's Encrypt生成证书)

1.需要将设备的ip和域名绑定，绑定效果图如下(记得实名认证)

2.登录服务器，安装git(本人服务器版本 centos 7.2)

2.1 yum install git
如发生如下异常

解决方法：
# rm -r /var/run/yum.pid
# rm：是否删除 一般文件 “/var/run/yum.pid”? y
到这里就可以了(下面的命令我没有用，用了报错)
# /sbin/service yum-updatesd restart
停止 yum-updatesd：                                        [确定]
启动 yum-updatesd：                                        [确定]

2.2 git clone https://github.com/letsencrypt/letsencrypt
2.3 cd letsencrypt

3.获取ssl证书

a. 未安装nginx或apache等web服务器(本人的选择)

# ./letsencrypt-auto certonly --standalone --email [email protected] -d china-ecar.xyz

b. 安装nginx或apache等web服务器

# ./letsencrypt-auto certonly --standalone --email [email protected] -d china-ecar.xyz --webroot-path=/var/www/thing.com
[email protected]为你的邮箱，
china-ecar.xyz为待签发的域名，
/var/www/thing.com为web服务器中定义的虚拟主机目录.

执行情况截图

4.查看证书

# cd /etc/letsencrypt/live/
# cd china-ecar.xyz   (为自定义的域名)
fullchain.pem 为证书  privatkey.pem 为密钥

5.免费延期(该证书3个月过期)

./letsencrypt-auto --renew certonly --email [email protected] -d china-ecar.xyz

常见问题：

6.HTTPS单向认证服务器构建(tomcat为服务器)

我个人用的是tomcat-8.0.38 ，tomcat-8.5.3支持直接部署.pem文件

在tomcat平级建立文件夹 LetsEncrypt

将/etc/letsencrypt/live/china-car.xyz中的fullchain.pem 为证书  privatkey.pem 为密钥复制到该文件夹下
cp /etc/letsencrypt/live/china-ecar.xyz/fullchain.pem  fullchain.pem
cp /etc/letsencrypt/live/china-ecar.xyz/privkey.pem  privkey.pem

生成.p12文件
openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out fullchain_and_key.p12 -name tomcat
这里会要求设置密码，及下面代码中的'yourPKCS12pass'

.jks证书
keytool -importkeystore -deststorepass 'yourJKSpass' -destkeypass 'yourKeyPass' -destkeystore MyDSKeyStore.jks -srckeystore fullchain_and_key.p12 -srcstoretype PKCS12 -srcstorepass 'yourPKCS12pass' -alias tomcat
其中yourPKCS12pass 是上一步中设置的ssl证书密码，这里的yourKeyPass是要设置的keystore密码，可以与yourPKCS12pass一致，下面配置tomcat会用到

修改tomcat conf/server.xml文件如下

重启服务器

​