文章出自虎书博客,转载请注明出处。
2018年3月14日,Let’s Encrypt对外宣布ACME v2已正式支持通配符证书。这就意外味着用户可以在Let’s Encrypt上免费申请支持通配符的SSL证书。
什么是 Let’s Encrypt
Let's Encrypt是国外一个公共的免费SSL项目,由Linux基金会托管。它的来头不小,由 Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书。以便加速互联网由HTTP过渡到HTTPS,目前Facebook等大公司开始加入赞助行列。
Let’s Encrypt已经得了IdenTrust的交叉签名,这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任。用户只需要在Web服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let’s Encrypt安装简单,使用非常方便。
本文将会详细介绍如何免费申请Let’s Encrypt通配符证书。
什么是通配符证书
域名通配符证书类似DNS解析的泛域名概念,通配符证书就是证书中可以包含一个通配符。主域名签发的通配符证书可以在所有子域名中使用,比如 .example.com、bbs.example.com。
申请通配符证书
Let’s Encrypt上的证书申请是通过ACME协议来完成的。ACME协议规范化了证书申请、更新、撤销等流程,实现了Let’s Encrypt CA自动化操作。解决了传统的CA机构是人工手动处理证书申请、证书更新、证书撤销的效率和成本问题。
ACME v2是ACME协议的更新版本,通配符证书只能通过ACME v2获得。要使用ACME v2协议申请通配符证书,只需一个支持该协议的客户端就可以了,官方推荐的客户端是Certbot。
获取 Certbot 客户端
下载 Certbot 客户端 (安装至/home目录下)
cd /home
wget https://dl.eff.org/certbot-auto
设为可执行权限
chmod a+x certbot-auto
申请通配符证书
客户在申请Let’s Encrypt证书的时候,需要校验域名的所有权,证明操作者有权利为该域名申请证书,目前支持三种验证方式:
dns-01:给域名添加一个 DNS TXT 记录。
http-01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件。
tls-sni-01:在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件。
使用Certbot客户端申请证书方法非常的简单,只需如下一行命令就搞定了。
特别注意:
1、申请通配符证书,只能使用 dns-01 的方式。
2、xxx.com 请根据自己的域名自行更改。如果要.xxx.com xxx.com都可以使用需要配置 -d ".xxx.com" -d "xxx.com"。
./certbot-auto certonly -d "*.xxx.com" -d "xxx.com" --manual --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
执行完这一步之后,就是命令行的输出,请根据提示输入相应内容:
执行到上图最后一步时,先暂时不要回车。申请通配符证书是要经过DNS认证的,接下来需要按照提示在域名后台添加对应的DNS TXT记录。确认生效后,回车继续执行,最后会输出如下内容:
到了这一步后,恭喜您,证书申请成功。
相关参数说明:
certonly 表示插件,Certbot有很多插件。不同的插件都可以申请证书,用户可以根据需要自行选择。
-d 为哪些主机申请证书。如果是通配符,输入 *.xxx.com(根据实际情况替换为你自己的域名)
--preferred-challenges dns-01 使用DNS方式校验域名所有权
--server Let's Encrypt ACME v2版本使用的服务器不同于v1版本,需要显示指定
证书续期
Let’s encrypt 的免费证书默认有效期为 90 天,到期后如果要续期可以执行:
/home/certbot-auto renew
在Nginx.conf配置 Let’s Encrypt证书:
server {
server_name xxx.com;
listen 443 http2 ssl;
ssl on;
ssl_certificate /etc/letsencrypt/live/xxx.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/xxx.com/privkey.pem;
location / {
proxy_pass http://127.0.0.1:6666;
}
}