美文网首页
使用 certbot 快速申请 let's Encrypt 证书

使用 certbot 快速申请 let's Encrypt 证书

作者: 许盛 | 来源:发表于2020-04-17 00:45 被阅读0次

    一、介绍

    官网上提供了很多安装方式,还有一键安装脚本,不过老规矩,需要装一堆东西的一律不考虑。

    docker hub 上找到了官方的镜像 certbot/certbot ,直接把这个镜像当做命令行工具来使用就行了,完美。

    在申请证书之前需要验证域名的所有权,目前有三种验证方式:

    • dns-01:给相应的域名添加一个 DNS TXT 的解析。
    • http-01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件
    • tls-sni-01: 在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件

    对于 http-01 方式来说,其实就是首先 certbot 先向 let's Encrypt 发送一个申请的请求,然后 let's Encrypt 返回来一个 token ,然后需要在域名解析到的机器上的 80 端口上搞个 http 服务,能够响应一个请求并返回这个 token

    这种方式还得搞个服务器,占用 80 端口,太麻烦了,不想采用。

    而且泛域名证书的话,只支持 dns-01 的方式,所以就采用 dns-01 的方式啦。

    二、申请

    let's Encryp t 有两个申请的服务地址,其中第二个是用来测试用的,如果你是第一次使用,建议先用第二个地址测试测试的学习一下,否则第一个地址调多了(每 7 天最多 5 次),就要被封一段时间了。

    调用命令(使用的是测试用的服务地址)

    // 带注释便于学习
    docker run -it --rm \ // -t 为容器分配一个伪 TTY 终端,-i 让容器的标准输入 STDIN 保持打开
      -v $PWD/letsencrypt:/etc/letsencrypt \ // 最终生成的证书文件存在容器的 /etc/letsencrypt 目录下,这里将容器内的 /etc/letsencrypt 目录映射到了宿主机的当前目录下的 letsencrypt 目录
      certbot/certbot \ // 使用的镜像名称
      certonly \ // 获取或更新证书,但不安装
      --manual \ // 使用交互式或脚本钩子的方式获取证书
      --preferred-challenges dns \
      -d '*.xuxusheng.com' \ // 域名,可以输入多个,用逗号分隔或写多个 -d 参数
      --agree-tos \ // 同意ACME服务器的订阅协议
      --email 20691718@qq.com \ // 你自己的邮箱地址
      --server https://acme-staging-v02.api.letsencrypt.org/directory // 测试用的服务地址,如果是申请正式的证书的话,替换成正式的地址即可。
    
    // 不带注释便于 C+V 大法
    docker run -it --rm \
      -v $PWD/letsencrypt:/etc/letsencrypt \
      certbot/certbot \
      certonly \
      --manual \
      --preferred-challenges dns \
      -d '*.xuxusheng.com' \
      --agree-tos \
      --email 20691718@qq.com \
      --server https://acme-staging-v02.api.letsencrypt.org/directory
    

    上面域名、邮箱都是写的我的,服务地址使用的测试的,替换成自己想要的就行。

    然后标准输出中会打印出来需要设置的 TXT 类型的域名解析的值,如下:

    工具输出

    然后根据上面的输出,设置域名解析:

    设置域名解析

    域名解析设置完成之后,先在命令行工具中检验检验,确保已经生效了:

    检验域名解析是否生效

    生效之后,在之前调用 docker 命令的窗口回车即可继续,等待几秒钟后,会发现出现证书生成成功的提示:

    证书生成成功

    然后在当前目录下的 ./letsencrypt/live/你自己的域名 目录下,就可以找到相应的证书文件啦。

    证书文件

    三、写在最后

    按说二级泛域名证书,应该也可以给一级域名用才对吧,为啥会报错呢,等再学习学习看看。

    验证出错

    又瞅了瞅,需要同时指定 -d xuxusheng.com 和 -d *.xuxusheng.com,然后提示添加 dns 记录的时候,会有两条需要加到 _acme-challenge.xuxusheng.com 上的 txt 记录,这里一定要记住,添加第二条的时候,不要直接修改第一条,而是新增一条!!!

    又看了看,好像还是 acme.sh 好用点???

    相关文章

      网友评论

          本文标题:使用 certbot 快速申请 let's Encrypt 证书

          本文链接:https://www.haomeiwen.com/subject/sdhsvhtx.html