Let’s Encrypt 申请通配符证书教程

技术教程 风为裳 5浏览 2评论 繁體

什么是 Let’s Encrypt?

Let’s Encrypt 是国外一个公共的免费SSL项目,由Linux基金会托管。它的来头不小,由 Mozilla、思科、Akamai、IdenTrust 和 EFF 等组织发起,目的就是向网站自动签发和管理免费证书。以便加速互联网由 HTTP 过渡到 HTTPS,目前Facebook等大公司开始加入赞助行列。

Let’s Encrypt 已经得了IdenTrust的交叉签名,这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任。用户只需要在Web服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let’s Encrypt安装简单,使用非常方便。

什么是通配符证书?

域名通配符证书类似DNS解析的泛域名概念,通配符证书就是证书中可以包含一个通配符。主域名签发的通配符证书可以在所有子域名中使用,比如 example.com、www.example.com。

申请通配符证书

Let’s Encrypt上的证书申请是通过ACME协议来完成的。ACME协议规范化了证书申请、更新、撤销等流程,实现了Let’s Encrypt CA自动化操作。解决了传统的 CA机构是人工手动处理证书申请、证书更新、证书撤销的效率和成本问题。ACME v2是ACME协议的更新版本,通配符证书只能通过ACME v2获得。要使用ACME v2协议申请通配符证书,只需一个支持该协议的客户端就可以了,官方推荐的客户端是Certbot。

获取Certbot客户端

wget https://dl.eff.org/certbot-auto

设为可执行权限

chmod a+x certbot-auto

注:Certbot从0.22.0版本开始支持ACME v2,如果你之前已安装旧版本客户端程序需更新到新版本。

申请证书

客户在申请Let’s Encrypt证书的时候,需要校验域名的所有权,证明操作者有权利为该域名申请证书,目前支持三种验证方式:

  • dns-01:给域名添加一个DNS TXT记录。
  • http-01:在域名对应的 Web 服务器下放置一个HTTP well-known URL资源文件。
  • tls-sni-01:在域名对应的 Web 服务器下放置一个HTTPS well-known URL资源文件。

使用Certbot

./certbot-auto certonly  -d "*.xxx.com" --manual --preferred-challenges dns-01  --server https://acme-v02.api.letsencrypt.org/directory

1.申请通配符证书,只能使用dns-01的方式。
2.xxx.com请根据自己的域名自行更改。

相关参数

certonly表示插件,Certbot有很多插件。不同的插件都可以申请证书,用户可以根据需要自行选择。
-d 为哪些主机申请证书。如果是通配符,输入*.xxx.com(根据实际情况替换为你自己的域名)。
--preferred-challenges dns-01,使用 DNS 方式校验域名所有权。
--server,Let’s Encrypt ACME v2 版本使用的服务器不同于 v1 版本,需要显示指定。

执行完这一步之后,就是命令行的输出,请根据提示输入相应内容:

执行到上图最后一步时,先暂时不要回车。申请通配符证书是要经过DNS认证的,接下来需要按照提示在域名后台添加对应的 DNS TXT 记录。添加完成后,先输入以下命令确认TXT记录是否生效:

$ dig  -t txt _acme-challenge.xxx.com @8.8.8.8
...
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;_acme-challenge.xxx.com.IN  TXT

;; ANSWER SECTION:
_acme-challenge.xxx.com. 599 IN  TXT "xxUHdwoZ6IaU_ab87h67rvbU2yJgdRyRe9zEA3jw"
...

确认生效后,回车继续执行,最后会输出如下内容:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/xxx.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/xxx.com/privkey.pem
   Your cert will expire on 2018-06-12. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:https://eff.org/donate-le

到了这一步后,恭喜您,证书申请成功。 证书和密钥保存在下列目录:

$ tree /etc/letsencrypt/live/xxx.com/
.
├── cert.pem
├── chain.pem
├── fullchain.pem
└── privkey.pem

校验证书信息,输入如下命令:

$ openssl x509 -in  /etc/letsencrypt/live/xxx.com/cert.pem -noout -text 

# 可以看到证书包含了 SAN 扩展,该扩展的值就是 *.xxx.com
...
Authority Information Access: 
OCSP - URI:http://ocsp.int-x3.letsencrypt.org
CA Issuers - URI:http://cert.int-x3.letsencrypt.org/

X509v3 Subject Alternative Name: 
DNS:*.xxx.com
...

其它相关

证书续期

Let’s encrypt的免费证书默认有效期为90天,到期后如果要续期可以执行:

certbot-auto renew

在Nginx中配置Let’s Encrypt证书

server {
server_name xxx.com;
listen 443 http2 ssl;
ssl on;
ssl_certificate /etc/cert/xxx.com/fullchain.pem;
ssl_certificate_key /etc/cert/xxx.com/privkey.pem;
ssl_trusted_certificate  /etc/cert/xxx.com/chain.pem;

location / {
  proxy_pass http://127.0.0.1:6666;
}
}

acme.sh的方式

1.获取acme.sh

curl https://get.acme.sh | sh

 

如下所示安装成功

注:我在centos 7上遇到问题,安装完后执行acme.sh,提示命令没找到,如果遇到跟我一样的问题,请关掉终端然后再登陆,或者执行以下指令:
source ~/.bashrc

2.开始获取证书

acme.sh强大之处在于,可以自动配置DNS,不用去域名后台操作解析记录了,我的域名是在阿里注册的,下面给出阿里云解析的例子,其他地方注册的请参考这里自行修改:传送门

请先前往阿里云后台获取App_KeyApp_Secret 传送门,然后执行以下脚本

# 替换成从阿里云后台获取的密钥
export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
# 换成自己的域名
acme.sh --issue --dns dns_ali -d zhuziyu.cn -d *.zhuziyu.cn

这里是通过线程休眠120秒等待DNS生效的方式,所以至少需要等待两分钟

到了这一步大功告成。

生成的证书放在该目录下: ~/acme.sh/domain/

下面是一个Nginx应用该证书的例子:

# domain自行替换成自己的域名
server {
    server_name xx.domain.com;
    listen 443 http2 ssl;
    ssl_certificate /path/.acme.sh/domain/fullchain.cer;
    ssl_certificate_key /path/.acme.sh/domain/domain.key;
    ssl_trusted_certificate  /path/.acme.sh/domain/ca.cer;

    location / {
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
        proxy_pass http://127.0.0.1:10086;
    }
}

acme.shcertbot的方式更加自动化,省去了手动去域名后台改DNS记录的步骤,而且不用依赖Python。

第一次成功之后,acme.sh会记录下App_Key跟App_Secret,并且生成一个定时任务,每天凌晨0:00自动检测过期域名并且自动续期。对这种方式有顾虑的,请慎重,不过也可以自行删掉用户级的定时任务,并且清理掉~/.acme.sh文件夹就行

转载请注明:风为裳 » Let’s Encrypt 申请通配符证书教程

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (2)

  1. 小白更关心以后怎么吊销证书,似乎所有教程里都没提过吊销证书的操作方法……
    网络小白2个月前 (09-22)回复
    • 证书吊销一般都发生在一些严重的安全事故之后。而且Let’s Encrypt签发的证书只有90天的有效期,等着它自己过期就可以了。如果有需求参考官方资料,点击前往
      风为裳2个月前 (09-22)回复