升级Let’s Encrypt 免费SSL证书 | 幸福的猪窝

升级Let’s Encrypt 免费SSL证书

Let’s Encrypt 开始支持通配符证书。

2018 年 3 月 14 日,Let’s Encrypt 对外宣布 ACME v2 已正式支持通配符证书。这就意外味着用户可以在 Let’s Encrypt 上免费申请支持通配符的 SSL 证书。免去了在证书中添加一大串证书的问题。

什么是 Let’s Encrypt

Let’s Encrypt 是国外一个公共的免费 SSL 项目,由 Linux 基金会托管。它的来头不小,由 Mozilla、思科、Akamai、IdenTrust 和 EFF 等组织发起,目的就是向网站自动签发和管理免费证书。以便加速互联网由 HTTP 过渡到 HTTPS,目前 Facebook 等大公司开始加入赞助行列。 Let’s Encrypt 已经得了 IdenTrust 的交叉签名,这意味着其证书现在已经可以被 Mozilla、Google、Microsoft 和 Apple 等主流的浏览器所信任。用户只需要在 Web 服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let’s Encrypt 安装简单,使用非常方便。 本文将会详细介绍如何免费申请 Let’s Encrypt 通配符证书。

什么是通配符证书

域名通配符证书类似 DNS 解析的泛域名概念,通配符证书就是证书中可以包含一个通配符。主域名签发的通配符证书可以在所有子域名中使用,比如 .example.com、bbs.example.com。

申请步骤

  1. 下载工具

    1
    2
    3
    4
    5
        wget https://dl.eff.org/certbot-auto
    chmod a+x certbot-auto
    ~~~

    2. 申请域名

    sudo ./certbot-auto certonly –email 邮箱 -d 域名1 -d 域名2 –manual –preferred-challenges dns –server https://acme-v02.api.letsencrypt.org/directory

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18

    参数说明:
    certonly 只签发证书
    --email 你的电子邮箱
    -d 域名 你要申请证书的域名,泛域名使用 *.abc.com ,注意泛域名不可用于 abc.com所以你可能还需要再加一个 abc.com的域名。同一张证书可以申请多个。使用多个 -d 即可。不过后面认证信息也会有多次。
    --manual 手动交互模式,需要中途中断添加一些域名解析设置。
    --preferred-challenges dns 使用dns方式认证。此方式不需要你再配置本地服务器解析,访问路径等。只需要在DNS添加一条TXT解析记录即可。前面有几个 -d 就会需要配置几个。
    --server 指定使用v02的服务器此服务器支持泛域名。默认是v01的。

    执行命令后如果是第一次使用,会自动安装依赖项只需等待即可。安装好后会自动开始申请流程。中间需要用户交互的有三步:

    1. 用户条款,直接输入A同意通过
    2. 询问用户是否记录申请电脑的IP地址。输入 Y 同意通过。
    3. 开始需要添加DNS解析内容,没申请一个域名就要添加一次。按要求添加即可。
    4. 最后一个添加完后,稍等个一分钟,按回车就会开始验证流程。验证通过后就会完成签发流程。成功后会有提示信息告诉你你的证书文件保存路径。

    3. 重新签发
    由于证书有效期只有3个月所系需要定时重新申请。 只需要执行即可重新签发。不过签发前会检查现在证书的有效期,没过期的不会重新签发。

    ./certboot-auto renew
    ~~~