如何申請Let's Encrypt通配符HTTPS證書

這篇文章主要介紹“如何申請Let's Encrypt通配符HTTPS證書”，在日常操作中，相信很多人在如何申請Let's Encrypt通配符HTTPS證書問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”如何申請Let's Encrypt通配符HTTPS證書”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

注 本教程是在centos 7下操作的，其他Linux系統大同小異。

2018.03.15 20:48 更新了通過acme.sh方式獲取證書的方法，墻裂推薦這種方法
2018.08.13 18:30 增加可通過docker鏡像獲取證書的方法

一、acme.sh的方式

1.獲取acme.sh

curl https://get.acme.sh | sh

如下所示安裝成功

注：我在centos 7上遇到問題，安裝完后執行acme.sh，提示命令沒找到，如果遇到跟我一樣的問題，請關掉終端然后再登陸，或者執行以下指令：

source ~/.bashrc

2.開始獲取證書

acme.sh強大之處在于，可以自動配置DNS，不用去域名后臺操作解析記錄了，我的域名是在阿里注冊的，下面給出阿里云解析的例子，其他地方注冊的請參考這里自行修改：傳送門

請先前往阿里云后臺獲取App_Key跟App_Secret 傳送門，然后執行以下腳本

# 替換成從阿里云后臺獲取的密鑰
export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
# 換成自己的域名
acme.sh --issue --dns dns_ali -d zhuziyu.cn -d *.zhuziyu.cn

這里是通過線程休眠120秒等待DNS生效的方式，所以至少需要等待兩分鐘

到了這一步大功告成，撒花

生成的證書放在該目錄下: ~/acme.sh/domain/

下面是一個Nginx應用該證書的例子:

# domain自行替換成自己的域名
server {
    server_name xx.domain.com;
    listen 443 http2 ssl;
    ssl_certificate /path/.acme.sh/domain/fullchain.cer;
    ssl_certificate_key /path/.acme.sh/domain/domain.key;
    ssl_trusted_certificate  /path/.acme.sh/domain/ca.cer;

    location / {
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
        proxy_pass http://127.0.0.1:10086;
    }
}

acme.sh比certbot的方式更加自動化，省去了手動去域名后臺改DNS記錄的步驟，而且不用依賴Python，墻裂推薦

第一次成功之后，acme.sh會記錄下App_Key跟App_Secret，并且生成一個定時任務，每天凌晨0：00自動檢測過期域名并且自動續期。對這種方式有顧慮的，請慎重，不過也可以自行刪掉用戶級的定時任務，并且清理掉~/.acme.sh文件夾就行

二、 docker 鏡像獲取

如果裝有docker環境的話，也可以用docker鏡像來獲取證書，只需一行命令即可

docker run --rm  -it  \
  -v "$(pwd)/out":/acme.sh  \
  -e Ali_Key="xxxxxx" \
  -e Ali_Secret="xxxx" \
  neilpang/acme.sh  --issue --dns dns_ali -d domain.cn -d *.domain.cn

成功之后，證書會保存在當前目錄下的out文件夾，也可以指定路徑，修改上面第一行 "$(pwd)/out"，改為你想要保存的路徑即可。

詳細用法，可以參考：傳送門

獲取下來的證書跟方式一 獲取的一模一樣，其他信息請參考方式一。

三、 certbot方式獲取證書[不推薦]

1.獲取certbot-auto

# 下載
wget https://dl.eff.org/certbot-auto

# 設為可執行權限
chmod a+x certbot-auto

2.開始申請證書

# 注xxx.com請根據自己的域名自行更改
./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory -d "*.xxx.com" --manual --preferred-challenges dns-01 certonly

執行完這一步之后，會下載一些需要的依賴，稍等片刻之后，會提示輸入郵箱，隨便輸入都行【該郵箱用于安全提醒以及續期提醒】

注意，申請通配符證書是要經過DNS認證的，按照提示，前往域名后臺添加對應的DNS TXT記錄。添加之后，不要心急著按回車，先執行dig xxxx.xxx.com txt確認解析記錄是否生效，生效之后再回去按回車確認

到了這一步后，大功告成！！！ 證書存放在/etc/letsencrypt/live/xxx.com/里面

要續期的話，執行certbot-auto renew就可以了

注：經評論區 ddatsh 的指點，這樣的證書無法應用到主域名xxx.com上，如需把主域名也增加到證書的覆蓋范圍，請在開始申請證書步驟的那個指令把主域名也加上，如下： 需要注意的是，這樣的話需要修改兩次解析記錄

./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory -d "*.xxx.com" -d "xxx.com" --manual --preferred-challenges dns-01 certonly

下面是一個nginx應用該證書的一個例子

server {
    server_name xxx.com;
    listen 443 http2 ssl;
    ssl on;
    ssl_certificate /etc/cert/xxx.cn/fullchain.pem;
    ssl_certificate_key /etc/cert/xxx.cn/privkey.pem;
    ssl_trusted_certificate  /etc/cert/xxx.cn/chain.pem;

    location / {
      proxy_pass http://127.0.0.1:6666;
    }
}

到此，關于“如何申請Let's Encrypt通配符HTTPS證書”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續學習更多相關知識，請繼續關注億速云網站，小編會繼續努力為大家帶來更多實用的文章！