Let's Encrypt 免費通配符 SSL 證書申請教程——可是也須要email，域名全部權等，若是是黑產用的話會這樣用嗎？會不會暴露本身身份？？？

時間 2019-11-10

標籤 let's let encrypt 免費通配符 ssl 證書申請教程可是須要 email 域名全部若是的話這樣會不會暴露本身身份欄目 SSL 简体版

原文原文鏈接

Let's Encrypt 免費通配符 SSL 證書申請教程

from:https://blog.csdn.net/English0523/article/details/79608464html

2018 年 3 月 14 日，Let’s Encrypt 對外宣佈 ACME v2 已正式支持通配符證書。這就意外味着用戶能夠在 Let’s Encrypt 上免費申請支持通配符的 SSL 證書。linux

什麼是 Let’s Encrypt

Let’s Encrypt 是國外一個公共的免費 SSL 項目，由 Linux 基金會託管。它的來頭不小，由 Mozilla、思科、Akamai、IdenTrust 和 EFF 等組織發起，目的就是向網站自動簽發和管理免費證書。以便加速互聯網由 HTTP 過渡到 HTTPS，目前 Facebook 等大公司開始加入贊助行列。api

Let’s Encrypt 已經得了 IdenTrust 的交叉簽名，這意味着其證書如今已經能夠被 Mozilla、Google、Microsoft 和 Apple 等主流的瀏覽器所信任。用戶只須要在 Web 服務器證書鏈中配置交叉簽名，瀏覽器客戶端會自動處理好其它的一切，Let’s Encrypt 安裝簡單，使用很是方便。瀏覽器

本文將會詳細介紹如何免費申請 Let’s Encrypt 通配符證書。服務器

什麼是通配符證書

域名通配符證書相似 DNS 解析的泛域名概念，通配符證書就是證書中能夠包含一個通配符。主域名簽發的通配符證書能夠在全部子域名中使用，好比 .example.com、bbs.example.com。ide

申請通配符證書

Let’s Encrypt 上的證書申請是經過 ACME 協議來完成的。ACME 協議規範化了證書申請、更新、撤銷等流程，實現了 Let’s Encrypt CA 自動化操做。解決了傳統的 CA 機構是人工手動處理證書申請、證書更新、證書撤銷的效率和成本問題。post

ACME v2 是 ACME 協議的更新版本，通配符證書只能經過 ACME v2 得到。要使用 ACME v2 協議申請通配符證書，只需一個支持該協議的客戶端就能夠了，官方推薦的客戶端是 Certbot。網站

獲取 Certbot 客戶端

1
2 3 4 5

# 下載 Certbot 客戶端
$ wget https://dl.eff.org/certbot-auto  # 設爲可執行權限 $ chmod a+x certbot-auto

注：Certbot 從 0.22.0 版本開始支持 ACME v2，若是你以前已安裝舊版本客戶端程序需更新到新版本。this

更詳細的安裝可參考官方文檔：https://certbot.eff.org/google

申請通配符證書

客戶在申請 Let’s Encrypt 證書的時候，須要校驗域名的全部權，證實操做者有權利爲該域名申請證書，目前支持三種驗證方式：

dns-01：給域名添加一個 DNS TXT 記錄。
http-01：在域名對應的 Web 服務器下放置一個 HTTP well-known URL 資源文件。
tls-sni-01：在域名對應的 Web 服務器下放置一個 HTTPS well-known URL 資源文件。

使用 Certbot 客戶端申請證書方法很是的簡單，只需以下一行命令就搞定了。

1	$ ./certbot-auto certonly -d "*.xxx.com" --manual --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory

1.申請通配符證書，只能使用 dns-01 的方式。
2.xxx.com 請根據本身的域名自行更改。

相關參數說明：

1
2 3 4

certonly 表示插件，Certbot 有不少插件。不一樣的插件均可以申請證書，用戶能夠根據須要自行選擇。
-d 爲哪些主機申請證書。若是是通配符，輸入 *.xxx.com (根據實際狀況替換爲你本身的域名)。 --preferred-challenges dns-01，使用 DNS 方式校驗域名全部權。 --server，Let's Encrypt ACME v2 版本使用的服務器不一樣於 v1 版本，須要顯示指定。

執行完這一步以後，就是命令行的輸出，請根據提示輸入相應內容：

執行到上圖最後一步時，先暫時不要回車。申請通配符證書是要通過 DNS 認證的，接下來須要按照提示在域名後臺添加對應的 DNS TXT 記錄。添加完成後，先輸入如下命令確認 TXT 記錄是否生效：

1
2 3 4 5 6 7 8 9 10

$ dig  -t txt _acme-challenge.xxx.com @8.8.8.8    
... ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;_acme-challenge.xxx.com. IN TXT  ;; ANSWER SECTION: _acme-challenge.xxx.com. 599 IN TXT "xxUHdwoZ6IaU_ab87h67rvbU2yJgdRyRe9zEA3jw" ...

確認生效後，回車繼續執行，最後會輸出以下內容：

1
2 3 4 5 6 7 8 9 10 11 12 13

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:  /etc/letsencrypt/live/xxx.com/fullchain.pem  Your key file has been saved at:  /etc/letsencrypt/live/xxx.com/privkey.pem  Your cert will expire on 2018-06-12. To obtain a new or tweaked  version of this certificate in the future, simply run certbot-auto  again. To non-interactively renew *all* of your certificates, run  "certbot-auto renew"  - If you like Certbot, please consider supporting our work by:   Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate  Donating to EFF: https://eff.org/donate-le

到了這一步後，恭喜您，證書申請成功。證書和密鑰保存在下列目錄：

1
2 3 4 5 6

$ tree /etc/letsencrypt/live/xxx.com/
. ├── cert.pem ├── chain.pem ├── fullchain.pem └── privkey.pem

校驗證書信息，輸入以下命令：

1
2 3 4 5 6 7 8 9 10 11

$ openssl x509 -in  /etc/letsencrypt/live/xxx.com/cert.pem -noout -text 
 # 能夠看到證書包含了 SAN 擴展，該擴展的值就是 *.xxx.com ... Authority Information Access:  OCSP - URI:http://ocsp.int-x3.letsencrypt.org  CA Issuers - URI:http://cert.int-x3.letsencrypt.org/  X509v3 Subject Alternative Name:  DNS:*.xxx.com ...

到此，咱們就演示瞭如何在 Let’s Encrypt 申請免費的通配符證書。

其它相關

證書續期

Let’s encrypt 的免費證書默認有效期爲 90 天，到期後若是要續期能夠執行：

1	$ certbot-auto renew

在 Nginx 中配置 Let’s Encrypt 證書

Nginx 配置文件片段：

1
2 3 4 5 6 7 8 9 10 11 12

server {
 server_name xxx.com;  listen 443 http2 ssl;  ssl on;  ssl_certificate /etc/cert/xxx.com/fullchain.pem;  ssl_certificate_key /etc/cert/xxx.com/privkey.pem;  ssl_trusted_certificate /etc/cert/xxx.com/chain.pem;   location / {  proxy_pass http://127.0.0.1:6666;  } }