Let's Encrypt 泛域名初探

Let's Encrypt是一个于2015年三季度推出的数字证书认证机构,旨在以自动化流程消除手动创建和安装证书的复杂流程,并推广使万维网服务器的加密连接无所不在,为安全网站提供免费的SSL/TLS证书。

 前言

1.通配符证书仅支持通过dns验证

Let’s Encrypt颁发通配符证书吗?
我们支持签发通配符证书。 您必须使用ACME v2节点并通过DNS验证来获取通配符证书。有关更多技术信息,请参阅该网页。

来源:Let's Encrypt FAQ

2.使用dns验证,自动更新证书时难度加大,需要修改域名的dns记录才能验证,最佳方式为申请dns服务商的api

准备

安装 acme.sh

acme.sh 说明

申请DNS api

阿里云dns,通过阿里云子帐号来实现

  1. 添加用户
  2. 添加授权
  1. 生成ak

添加配置

vim ~/.bashrc
export Ali_Key="AccessKeyId"
export Ali_Secret="AccessKeySecret"
source ~/.bashrc

颁发证书

DNS验证

acme.sh --issue --dns dns_ali -d *.lushx.cn

该命令执行后,会在计划表里添加计划。

root@iZj6c1hekwsn9ybdmu9wp1Z:~# crontab -l
29 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

配置nginx

acme.sh --issue --dns dns_ali -d *.lushx.cn \
 --installcert \
 --key-file /etc/nginx/cert.d/lushx.cn.key \
 --fullchain-file /etc/nginx/cert.d/lushx.cn.pem \
 --reloadcmd  "service nginx force-reload"

Nginx 配置 HTTPS 服务器

泛域名证书有效

参考:使用 acme.sh 部署 Let's Encrypt 通过阿里云 DNS 验证方式实现泛域名 HTTPS

添加新评论

请不要水评论

评论列表