美文网首页程序猿阵线联盟-汇总各类技术干货我用 LinuxLinux
申请免费Let's Encrypt通配符SSL证书详细教

申请免费Let's Encrypt通配符SSL证书详细教

作者: 笛福奥特 | 来源:发表于2018-07-10 14:42 被阅读14次

    文章出自虎书博客,转载请注明出处。

    2018年3月14日,Let’s Encrypt对外宣布ACME v2已正式支持通配符证书。这就意外味着用户可以在Let’s Encrypt上免费申请支持通配符的SSL证书。

    什么是 Let’s Encrypt

    Let's Encrypt是国外一个公共的免费SSL项目,由Linux基金会托管。它的来头不小,由 Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书。以便加速互联网由HTTP过渡到HTTPS,目前Facebook等大公司开始加入赞助行列。

    Let’s Encrypt已经得了IdenTrust的交叉签名,这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任。用户只需要在Web服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let’s Encrypt安装简单,使用非常方便。
    本文将会详细介绍如何免费申请Let’s Encrypt通配符证书。

    什么是通配符证书

    域名通配符证书类似DNS解析的泛域名概念,通配符证书就是证书中可以包含一个通配符。主域名签发的通配符证书可以在所有子域名中使用,比如 .example.com、bbs.example.com。

    申请通配符证书

    Let’s Encrypt上的证书申请是通过ACME协议来完成的。ACME协议规范化了证书申请、更新、撤销等流程,实现了Let’s Encrypt CA自动化操作。解决了传统的CA机构是人工手动处理证书申请、证书更新、证书撤销的效率和成本问题。

    ACME v2是ACME协议的更新版本,通配符证书只能通过ACME v2获得。要使用ACME v2协议申请通配符证书,只需一个支持该协议的客户端就可以了,官方推荐的客户端是Certbot。

    获取 Certbot 客户端

    下载 Certbot 客户端 (安装至/home目录下)

    cd /home
    wget https://dl.eff.org/certbot-auto
    

    设为可执行权限

    chmod a+x certbot-auto
    
    申请通配符证书

    客户在申请Let’s Encrypt证书的时候,需要校验域名的所有权,证明操作者有权利为该域名申请证书,目前支持三种验证方式:

    dns-01:给域名添加一个 DNS TXT 记录。
    http-01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件。
    tls-sni-01:在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件。
    

    使用Certbot客户端申请证书方法非常的简单,只需如下一行命令就搞定了。

    特别注意:

    1、申请通配符证书,只能使用 dns-01 的方式。
    2、xxx.com 请根据自己的域名自行更改。如果要.xxx.com xxx.com都可以使用需要配置 -d ".xxx.com" -d "xxx.com"。

    ./certbot-auto certonly  -d "*.xxx.com" -d "xxx.com" --manual --preferred-challenges dns-01  --server https://acme-v02.api.letsencrypt.org/directory
    

    执行完这一步之后,就是命令行的输出,请根据提示输入相应内容:

    执行到上图最后一步时,先暂时不要回车。申请通配符证书是要经过DNS认证的,接下来需要按照提示在域名后台添加对应的DNS TXT记录。确认生效后,回车继续执行,最后会输出如下内容:

    到了这一步后,恭喜您,证书申请成功。

    相关参数说明:
    certonly    表示插件,Certbot有很多插件。不同的插件都可以申请证书,用户可以根据需要自行选择。
    -d          为哪些主机申请证书。如果是通配符,输入 *.xxx.com(根据实际情况替换为你自己的域名)
    --preferred-challenges dns-01      使用DNS方式校验域名所有权
    --server     Let's Encrypt ACME v2版本使用的服务器不同于v1版本,需要显示指定
    
    证书续期

    Let’s encrypt 的免费证书默认有效期为 90 天,到期后如果要续期可以执行:

    /home/certbot-auto renew
    

    在Nginx.conf配置 Let’s Encrypt证书:

    server {
        server_name xxx.com;
        listen 443 http2 ssl;
        ssl on;
        ssl_certificate /etc/letsencrypt/live/xxx.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/xxx.com/privkey.pem;
    
        location / {
          proxy_pass http://127.0.0.1:6666;
        }
    }
    

    相关文章

      网友评论

        本文标题:申请免费Let's Encrypt通配符SSL证书详细教

        本文链接:https://www.haomeiwen.com/subject/ypwfpftx.html