如何生成Let’s Encrypt 通配符SSL证书
时间:2020-02-23 14:33:08 来源:igfitidea点击:
本教程将如何生成Let的加密通配符SSL证书。
正如我们所知道的,Letsencrypt声明发布ACME V2 API,现在已准备好生产。
人们一直在等待的功能之一是对ACME V1中缺少的通配符证书的支持。
在本教程中,将介绍生成通配符的过程,Let’s Encrypt SSL证书与Web应用程序一起使用,使用DNS手动验证。
最终用户可以使用以下目录URL开始使用其ACME V2兼容客户端发出可信的,生产准备证书:
https://acme-v02.api.letsencrypt.org/directory.
请注意,我们必须使用ACME V2兼容客户端来访问此端点。
安装CERTBOT-AUTO ACME V2客户端
运行以下命令以安装我们将用于获取通配符SSL证书的CERTBOT-AUTO ACME V2客户端。
wget https://dl.eff.org/certbot-auto chmod +x certbot-auto sudo mv certbot-auto /usr/local/bin/certbot-auto
生成Let’s Encrypt 通配符SSL证书
我将为* .theitroad.com生成通配符证书。
一个要求是通过添加生成的TXT记录来访问DNS管理器以验证域所有权。
在下面的命令中运行以启动证书请求过程:
certbot-auto certonly --manual -d *.example.com --agree-tos \ --no-bootstrap --manual-public-ip-logging-ok --preferred-challenges dns-01 \ -m your-email-address \ --server https://acme-v02.api.letsencrypt.org/directory
我们应该类似于下面的
Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator manual, Installer None Obtaining a new certificate Performing the following challenges: dns-01 challenge for theitroad.com ------------------------------------------------------------------------------ Please deploy a DNS TXT record under the name _acme-challenge.theitroad.com with the following value: UGa2-db4b-gj9aWAmS8UCnctThIMgRTWAWSeCK_zLVPAfaz6lvQ Before continuing, verify the record is deployed. ------------------------------------------------------------------------------ Press Enter to Continue
它为我们提供了一个TXT记录,为我添加到DNS,记录是:
Name: _acme-challenge.example.com TXT record: UGa2-db4b-gj9aWAmS8UCnctThIMgRTWAWSeCK_zLVPAfaz6lvQ
完成此操作后填充了记录,请按Enter键继续。
在成功的一代时,我们应该如下所示的
Waiting for verification... Cleaning up challenges IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2016-07-14. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG/Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
输出为我们提供了私钥和证书文件的完整路径。
我们现在可以使用该应用程序的证书。
