标签 let’s encrypt 下的文章

Let’s Encrypt:免费 通配符(野卡)域名证书 申请方法

  • Let’s Encrypt 简介

Let’s Encrypt的通配符原本之前官方说的是2月27日上线,但是居然跳票了!不过,这两天又看到说正式出来了,就去测试了下,就为大家带来了这篇文章了。

关于介绍这里就不再叙述了,更多请看之前的文章:《Let’s Encrypt:免费 通配符域名证书将于 2018 年 2 月 27 日上线(附:旧版申请方法)》

  • 通配符SSL申请方法

本次教程主要使用之前有提到的脚本工具 Acme.sh 来申请。同样也可以使用官方的工具 cerbot 来申请,不过Acme.sh脚本要方便很多了。

注意,目前测试通配符SSL证书只能使用DNS验证

1. 首先,安装Acme工具登录你的vps服务器,执行命令:curl https://get.acme.sh | sh

或者  wget -O -  https://get.acme.sh | sh

默认当前目录,如果你root登录后直接执行以上命令,会安装在/root目录下,目录名称为:.acme.sh 默认这个目录为隐藏属性700

安装成功如图(国内服务器可能会比较慢点,懂?):

2. 开始申请,并生成TXT记录以供DNS解析验证

进入Acme.sh 目录:cd .acme.sh

执行命令,获取TXT解析记录:./acme.sh  --issue -d .youdomain.com -d youdomain.com --dns (自行替换youdomain.com为你的域名)

这里就默认就用了通配符子域名和顶级域名,即和@ ,如果你还想加一个www ,就再空格后加上-d www.youdomain.com ,既然是通配符,也就无需www了,直接参考使用上面的命令就足够了

同时,这里补充点,你如果只是申请单个域名的话或者比如旧版的支持多个不同域名的DV证书,就可以在后面加上 你想要多个-d以及你的不同域名即可

DNS获取如图:

3. 添加域名的TXT解析记录

去你的域名注册商(如果使用dnspod等第三方解析服务商,请自行去操作),按照上图添加TXT解析记录。

主机名(主机记录):_acme-challenge  记录类型:TXT  记录值:请根据上图步骤填写

注意:你添加了几个-d 就必须做几条解析记录,博主这里测试的时候是两个,所以必须添加两条TXT解析记录

博主这里测试使用的是dnspod.cn的解析服务。

4. 申请并生成SSL证书

执行命令,开始验证TXT记录,并生成SSL证书:./acme.sh  --renew -d *.youdomain.com -d youdomain.com  (自行替换youdomain.com为你的域名)

如果dns验证成功,则会自动申请SSL证书并显示输出证书内容,以及证书和私钥key文件等存放路径。

说明:1. 默认会在.acme.sh安装目录下生成一个以你的域名youdomain.com为名称的目录,包含:SSL证书文件youdomain.com.cer 、 私钥key文件youdomain.com.key 、 CA证书文件ca.cer 、完整证书链文件fullchain.cer(文件文本内容为你的ssl证书+ca证书文件内容,适用于nginx)

2. Let’s Encrypt的通配符证书和以往一样,有效期90天,你可以参考ACME.sh工具说明:https://github.com/Neilpang/acme.sh/wiki/%E8%AF%B4%E6%98%8E 设置自动更新证书

证书示例:

到此,申请教程结束,本文为方便新手就不使用官方的工具 cerbot 来申请了。老手飘过,喜欢折腾的可以自己去试试cerbot申请。

最后,欢迎转载,注明出处即可。

Let’s Encrypt:免费 通配符域名证书将于2018年2月27日上线(附:旧版申请方法)

20180113211059.jpg

  • Let’s Encrypt简介

Let’s Encrypt 是一个免费、开放,自动化的证书颁发机构,由 ISRG(Internet Security Research Group)运作。
Let's Encrypt 作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。

  • 发展历程

Let’s Encrypt:项目于2012年由 Mozilla 的两个员工发起,2014年11年对外宣布公开,2015年12月3日开启公测。
Let’s Encrypt:ACME v2和通配符支持将于2018年2月27日全面上市。

  • 新版API地址

官方原文:https://community.letsencrypt.org/t/staging-endpoint-for-acme-v2/49605
API地址:https://acme-staging-v02.api.letsencrypt.org/directory

  • 申请方法

由于新版还没有正式上线,目前还在公测中,这里先提供一些ACME v1旧版的申请方法(当然申请的就是单域名证书了),后续证书上线后再更新 新版及通配符证书申请方法。
注意(提示):1、不管使用什么方式申请,域名必须解析到站点所在服务器。2、国内域名DNS经过测试无法获取解析情况(dnspod.com同样无法),建议使用国外DNS解析服务商
官方工具方法
https://github.com/letsencrypt/letsencrypt(第一版工具,已经失效,请使用certbot申请)
https://github.com/certbot/certbot(第二版工具:certbot)
官方申请命令(需要ssh登录vps服务器):
安装certbot工具(需要安装Python,官方建议Python2.7及其以上):
a、安装git
yum install -y git
b、使用git命令克隆certbot这个项目到当前目录
git clone https://github.com/certbot/certbot
c、使用certbot申请证书

可以通过多个-d参数指定多个域名,并确保这些指定的多个域名均能正常解析到当前主机

./certbot-auto certonly --standalone -d www.test.com -d test.com

  • 第三方工具申请

第三方的申请工具就比较多了,有用脚本申请的,也有网站直接申请的。官方的工具比较麻烦,新手不是很熟悉linux操作的还是会出现各种错误而无法解决,但是使用第三方工具申请就比较简单了。这里推荐两个比较好用的。
1、SSL For Free网站:https://www.sslforfree.com/
20180113220552.jpg
2、脚本工具Acme.sh(推荐,方便)
https://acme.sh
https://github.com/Neilpang/acme.sh这里有详细说明,就不多说了。


Warning: in_array() expects parameter 2 to be array, null given in /www/users/HK1590886/WEB/usr/plugins/TopLamuLeimu/Plugin.php on line 85