Let’s Encrypt:免费 通配符(野卡)域名证书 申请方法
-
Let’s Encrypt 简介
Let’s Encrypt的通配符原本之前官方说的是2月27日上线,但是居然跳票了!不过,这两天又看到说正式出来了,就去测试了下,就为大家带来了这篇文章了。
关于介绍这里就不再叙述了,更多请看之前的文章:《Let’s Encrypt:免费 通配符域名证书将于 2018 年 2 月 27 日上线(附:旧版申请方法)》
-
通配符SSL申请方法
本次教程主要使用之前有提到的脚本工具 Acme.sh 来申请。同样也可以使用官方的工具 cerbot 来申请,不过Acme.sh脚本要方便很多了。
注意,目前测试通配符SSL证书只能使用DNS验证
1. 首先,安装Acme工具登录你的vps服务器,执行命令:curl https://get.acme.sh | sh
或者 wget -O - https://get.acme.sh | sh
默认当前目录,如果你root登录后直接执行以上命令,会安装在/root目录下,目录名称为:.acme.sh 默认这个目录为隐藏属性700
安装成功如图(国内服务器可能会比较慢点,懂?):
2. 开始申请,并生成TXT记录以供DNS解析验证
进入Acme.sh 目录:cd .acme.sh
执行命令,获取TXT解析记录:./acme.sh --issue -d .youdomain.com -d youdomain.com --dns (自行替换youdomain.com为你的域名)
这里就默认就用了通配符子域名和顶级域名,即和@ ,如果你还想加一个www ,就再空格后加上-d www.youdomain.com ,既然是通配符,也就无需www了,直接参考使用上面的命令就足够了
同时,这里补充点,你如果只是申请单个域名的话或者比如旧版的支持多个不同域名的DV证书,就可以在后面加上 你想要多个-d以及你的不同域名即可
DNS获取如图:
3. 添加域名的TXT解析记录
去你的域名注册商(如果使用dnspod等第三方解析服务商,请自行去操作),按照上图添加TXT解析记录。
主机名(主机记录):_acme-challenge 记录类型:TXT 记录值:请根据上图步骤填写
注意:你添加了几个-d 就必须做几条解析记录,博主这里测试的时候是两个,所以必须添加两条TXT解析记录
博主这里测试使用的是dnspod.cn的解析服务。
4. 申请并生成SSL证书
执行命令,开始验证TXT记录,并生成SSL证书:./acme.sh --renew -d *.youdomain.com -d youdomain.com (自行替换youdomain.com为你的域名)
如果dns验证成功,则会自动申请SSL证书并显示输出证书内容,以及证书和私钥key文件等存放路径。
说明:1. 默认会在.acme.sh安装目录下生成一个以你的域名youdomain.com为名称的目录,包含:SSL证书文件youdomain.com.cer 、 私钥key文件youdomain.com.key 、 CA证书文件ca.cer 、完整证书链文件fullchain.cer(文件文本内容为你的ssl证书+ca证书文件内容,适用于nginx)
2. Let’s Encrypt的通配符证书和以往一样,有效期90天,你可以参考ACME.sh工具说明:https://github.com/Neilpang/acme.sh/wiki/%E8%AF%B4%E6%98%8E 设置自动更新证书
证书示例:
到此,申请教程结束,本文为方便新手就不使用官方的工具 cerbot 来申请了。老手飘过,喜欢折腾的可以自己去试试cerbot申请。
最后,欢迎转载,注明出处即可。
