centos7全自動生成letsencrypt通配符證書最佳實踐

完成centos7徹底自動化的生成letsencrypt通配符證書，整個過程花了我差很少一週的時間，其中有6天半的時間都是在蒐集各類資料，當資料找齊以後，很快就完成了證書生成。
寫下這篇文章但願能爲你節省6天半的時間。

之全部可以實現自動化的ssl通配符證書要得益於兩次更新
1.2018年3月letsencrypt開始支持通配符證書
2.certbo支持以hook的方式經過操做DNS服務商的API進行域名全部權的驗證。

咱們此次要用到兩個工具
1.certbot
2.支持阿里雲DNS的hook

操做過程
1.安裝certbo

yum install certbot

2.獲取dns驗證插件

git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au
cd certbot-letencrypt-wildcardcertificates-alydns-au
chmod 0777 au.sh

3.在阿里雲後臺獲取操做DNS服務的API key和密鑰而後配置到au.sh文件裏面的ALY_KEY 和 ALY_TOKEN

4.執行下面的操做就能夠生成你的通配符證書了(注意兩個域名的順序)

certbot certonly  -d example.com -d *.example.com --manual \
--preferred-challenges dns   \
--manual-auth-hook "/腳本目錄/au.sh php aly add" \
--manual-cleanup-hook "/腳本目錄/au.sh php aly clean"

5.你能夠經過Mozilla的ssl配置生成網站生成你的最佳配置

6.由於是通配符證書，因此你可能在不少虛擬主機上都會用到，那麼你能夠把ssl部分的配置寫在一個單獨文件裏面，而後在其餘須要用到的地方直接include

7.你能夠經過這個網站來查看你的域名證書等級。