免费SSL证书let’s encrypt手动申请步骤

发表时间:2020-02-29 19:52 | 分类:建站经验 | 浏览:3,269 次

说起Let's Encrypt,应该大多数站长都不陌生。这个让网站简单、免费用上HTTPS的家伙,是国外一个公共的免费SSL项目。它由 Linux 基金会托管,由 Mozilla、思科、Akamai、IdenTrust 和 EFF 等组织发起,目的就是向网站自动签发和管理免费证书,加速互联网由 HTTP 过渡到 HTTPS,Facebook 等大公司都已经加入到赞助行列。

Let's Encrypt不仅仅是免费,Let's Encrypt还获得了 IdenTrust 的交叉签名,意味着其证书现在已经可以被 Mozilla、Google、Microsoft 和 Apple 等主流的浏览器所信任。更加不可思议的是他还支持泛域名证书,也就是俗称的野卡证书(各大SSL证书厂商哭晕在厕所)。

废话不多说,下面介绍手动申请let's encrypt的步骤。对于用acme自动申请续签SSL证书不清楚的可以参考博主之前的文章(网址:https://zhangnq.com/2633.html),本文只介绍certbot-auto手动申请。虽然这种方法需要每个3个月申请一次,但是对于碰到过一次acme自动续签失败的运维人员来说,一次故障可能就意味一次事故,还是手动+SSL证书监控最稳妥。

第一步:获取certbot-auto

# 下载
wget https://dl.eff.org/certbot-auto

# 设为可执行权限
chmod a+x certbot-auto

第二步:申请

在申请 Let’s Encrypt 证书的时候,需要校验域名的所有权,证明操作者有权利为该域名申请证书,目前支持三种验证方式:

dns-01:给域名添加一个 DNS TXT 记录。
http-01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件。
tls-sni-01:在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件。

运行类似如下命令,使用dns验证域名所有权。这里强调下如果申请的是泛域名证书,-d参数必须把一级域名也添加进去,否则生成的证书无法应用到一级主域名。

certbot-auto certonly -d "zhangnq.com" -d "*.zhangnq.com" --manual --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory

执行完这一步之后,会下载一些需要的依赖,稍等片刻之后,会提示输入邮箱,随便输入都行【该邮箱用于安全提醒以及续期提醒】

14144603_4ezr

按照提示,前往域名后台添加对应的DNS TXT记录。添加之后,不要心急着按回车,先执行dig -t txt xxxx.xxx.com,确认解析记录是否生效,生效之后再回去按回车确认。

如果是泛域名证书,-d有两个域名,那么需要添加修改两次dns域名解析。

14144824_vKdF

最后确认之后看到类似如下页面就说明证书签发成功。

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/xxx.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/xxx.com/privkey.pem
   Your cert will expire on 2018-06-12. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

到了这一步后,证书就大功告成了,快去应用到网页应用上吧。

本文标签:

本文链接:https://www.sijitao.net/3240.html

欢迎您在本博客中留下评论,如需转载原创文章请注明出处,谢谢!

现在只有1个回复
Comment (1)
Trackbacks (0)
  1. 热搜榜  ( 2020.03.5 00:33 ) : #-9

    文章不错非常喜欢

  1. 还没有Trackbacks
一键脚本 博客历程 留言联系 文章归档 网站地图 谷歌地图
Copyright © 2010-2024 章郎虫博客 All Rights Reserved.