原本打算去SSLs申請憑證,但後來發現SSLs的免費憑證一個帳號只能申請一次,
所以我改成用完全免費的LetsEncrypt,
步驟也不難,
只要在server上安裝certbot就行了,
首先先到這個網站確認certbot的安裝方式
https://certbot.eff.org/
在選單選擇自己使用的web server以及OS
網站就會列出對應的安裝&申請憑證步驟
像我使用的OS是Debian,安裝的步驟就是:
su root
apt update
apt install snapd
snap install core
snap refresh core
snap install --classic certbot
ln -s /snap/bin/certbot /usr/bin/certbot
安裝完之後,就可以來申請ssl憑證了
因為我的伺服器種類選擇的是other,
所以網站有列出兩種安裝指令可選擇
使用以下指令,certbot會幫你啟動一個80 port的web 服務,並自動幫你在特定路徑上放上驗證檔進行驗證。
這個方法要在你自己的web server是關閉狀態下才能執行
sudo certbot certonly --standalone
另一個指令如下,如果不想關閉自己的web server服務,
那就提供你的web server中對應網站根目錄的路徑,
certbot會幫你把驗證檔放到指定的路徑中進行驗證
sudo certbot certonly --webroot
兩個方法都很簡單,只要照著說明走,很快就申請完了
#2022/10/19;
以下還在試錯階段,完整做法請參考D34/pem憑證匯入kdb(二)
在拿到.pem檔之後,我要把它轉成.p12檔
指令如下:
cd /etc/letsencrypt/live/2022iron30.tk
openssl pkcs12 -export -out mycert.p12 -in fullchain.pem -inkey privkey.pem -name 2022iron30.tk
接著將mycert.p12檔案搬到IHS環境能讀取得到的目錄
然後把憑證匯入kdb
cd /opt/IBM/HTTPServer/bin
gskcmd -cert -import -type p12 -target /opt/IBM/HTTPServer/cert/test.kdb -file /tmp/mycert.p12
接著會詢問兩次密碼,分別是
第一次,輸入你的.p12設定的密碼
A password is required to access the source key database.
Please enter a password:
第二次,輸入你的.kdb設定的密碼
A password is required to access the target key database.
Please enter a password:
匯入憑證後,將這個憑證設為預設值,IHS預設只會拿default的憑證來做ssl連線
gskcapicmd -cert -setdefault -db /opt/IBM/HTTPServer/cert/test.kdb -label 2022iron30.tk