這篇文章主要介紹“如何申請Let's Encrypt通配符HTTPS證書”�,在日常操作中�����,相信很多人在如何申請Let's Encrypt通配符HTTPS證書問題上存在疑惑��,小編查閱了各式資料�����,整理出簡單好用的操作方法�,希望對大家解答”如何申請Let's Encrypt通配符HTTPS證書”的疑惑有所幫助!接下來�����,請跟著小編一起來學(xué)習(xí)吧���!
專注于為中小企業(yè)提供網(wǎng)站制作�����、成都做網(wǎng)站服務(wù),電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)上栗免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)�。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才��,有力地推動了上1000家企業(yè)的穩(wěn)健成長��,幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴充和轉(zhuǎn)變�。
注 本教程是在centos 7下操作的,其他Linux系統(tǒng)大同小異�。
2018.03.15 20:48 更新了通過acme.sh方式獲取證書的方法,墻裂推薦這種方法
2018.08.13 18:30 增加可通過docker鏡像獲取證書的方法
一���、acme.sh的方式
1.獲取acme.sh
curl https://get.acme.sh | sh
如下所示安裝成功
注:我在centos 7上遇到問題,安裝完后執(zhí)行acme.sh���,提示命令沒找到���,如果遇到跟我一樣的問題,請關(guān)掉終端然后再登陸���,或者執(zhí)行以下指令:
source ~/.bashrc
2.開始獲取證書
acme.sh強大之處在于�����,可以自動配置DNS��,不用去域名后臺操作解析記錄了���,我的域名是在阿里注冊的�,下面給出阿里云解析的例子��,其他地方注冊的請參考這里自行修改:傳送門
請先前往阿里云后臺獲取App_Key跟App_Secret 傳送門����,然后執(zhí)行以下腳本
# 替換成從阿里云后臺獲取的密鑰
export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
# 換成自己的域名
acme.sh --issue --dns dns_ali -d zhuziyu.cn -d *.zhuziyu.cn
這里是通過線程休眠120秒等待DNS生效的方式,所以至少需要等待兩分鐘
到了這一步大功告成��,撒花
生成的證書放在該目錄下: ~/acme.sh/domain/
下面是一個Nginx應(yīng)用該證書的例子:
# domain自行替換成自己的域名
server {
server_name xx.domain.com;
listen 443 http2 ssl;
ssl_certificate /path/.acme.sh/domain/fullchain.cer;
ssl_certificate_key /path/.acme.sh/domain/domain.key;
ssl_trusted_certificate /path/.acme.sh/domain/ca.cer;
location / {
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_pass http://127.0.0.1:10086;
}
}acme.sh比certbot的方式更加自動化�,省去了手動去域名后臺改DNS記錄的步驟,而且不用依賴Python����,墻裂推薦
第一次成功之后,acme.sh會記錄下App_Key跟App_Secret��,并且生成一個定時任務(wù)���,每天凌晨0:00自動檢測過期域名并且自動續(xù)期���。對這種方式有顧慮的���,請慎重,不過也可以自行刪掉用戶級的定時任務(wù)����,并且清理掉~/.acme.sh文件夾就行
二、 docker 鏡像獲取
如果裝有docker環(huán)境的話�����,也可以用docker鏡像來獲取證書�,只需一行命令即可
docker run --rm -it \
-v "$(pwd)/out":/acme.sh \
-e Ali_Key="xxxxxx" \
-e Ali_Secret="xxxx" \
neilpang/acme.sh --issue --dns dns_ali -d domain.cn -d *.domain.cn
成功之后,證書會保存在當(dāng)前目錄下的out文件夾��,也可以指定路徑�,修改上面第一行 "$(pwd)/out"�,改為你想要保存的路徑即可。
詳細(xì)用法���,可以參考:傳送門
獲取下來的證書跟方式一 獲取的一模一樣�����,其他信息請參考方式一�。
三、 certbot方式獲取證書[不推薦]
1.獲取certbot-auto
# 下載
wget https://dl.eff.org/certbot-auto
# 設(shè)為可執(zhí)行權(quán)限
chmod a+x certbot-auto
2.開始申請證書
# 注xxx.com請根據(jù)自己的域名自行更改
./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory -d "*.xxx.com" --manual --preferred-challenges dns-01 certonly
執(zhí)行完這一步之后����,會下載一些需要的依賴,稍等片刻之后�����,會提示輸入郵箱��,隨便輸入都行【該郵箱用于安全提醒以及續(xù)期提醒】
注意��,申請通配符證書是要經(jīng)過DNS認(rèn)證的���,按照提示����,前往域名后臺添加對應(yīng)的DNS TXT記錄�。添加之后,不要心急著按回車���,先執(zhí)行dig xxxx.xxx.com txt確認(rèn)解析記錄是否生效�,生效之后再回去按回車確認(rèn)
到了這一步后,大功告成?。?��! 證書存放在/etc/letsencrypt/live/xxx.com/里面
要續(xù)期的話�,執(zhí)行certbot-auto renew就可以了
注:經(jīng)評論區(qū) ddatsh 的指點�����,這樣的證書無法應(yīng)用到主域名xxx.com上��,如需把主域名也增加到證書的覆蓋范圍��,請在開始申請證書步驟的那個指令把主域名也加上��,如下: 需要注意的是��,這樣的話需要修改兩次解析記錄
./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory -d "*.xxx.com" -d "xxx.com" --manual --preferred-challenges dns-01 certonly
下面是一個nginx應(yīng)用該證書的一個例子
server {
server_name xxx.com;
listen 443 http2 ssl;
ssl on;
ssl_certificate /etc/cert/xxx.cn/fullchain.pem;
ssl_certificate_key /etc/cert/xxx.cn/privkey.pem;
ssl_trusted_certificate /etc/cert/xxx.cn/chain.pem;
location / {
proxy_pass http://127.0.0.1:6666;
}
}到此���,關(guān)于“如何申請Let's Encrypt通配符HTTPS證書”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑����。理論與實踐的搭配能更好的幫助大家學(xué)習(xí)����,快去試試吧����!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識,請繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站�����,小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>
當(dāng)前文章:如何申請Let'sEncrypt通配符HTTPS證書
標(biāo)題網(wǎng)址:http://weahome.cn/article/jcssgj.html
重慶分公司
重慶分公司
