概述

Let's Encrypt是一个数字证书认证机构,旨在以自动化流程消除手动创建和安装证书的复杂流程,使万维网服务器的加密连接无所不在,为安全网站提供免费的SSL/TLS证书.为此设计了一个ACME协议,该协议规范化了证书申请、更新、撤销等流程,只要一个客户端实现了该协议的功能,通过客户端就可以向 Let’s Encrypt 申请证书,也就是说 Let's Encrypt CA完全是自动化操作的; 目前 Let's Encrypt 已经有了很多客户端软件(申请签发证书)支持了, 官方推荐的客户端软件是Certbot.

目前支持的证书类型

1. 单域名证书

仅包含一个主机域名的证书.

2. SAN证书

可以包含多个主机域名的证书(限制20),并且这些主机域名可以不是同一个注册域的.

3. 通配符证书

签发证书时指定的域名可以包含一个通配符SSL,如 .it123.com; 即该证书可以保护您网站的URL及其所有子域(数量不限)。

如何申请 Let’s Encrypt 通配符证书

1. 概述

为了实现通配符证书,Let’s Encrypt 对 ACME 协议的实现进行了升级,只有 v2 协议才能支持通配符证书,也就是说任何客户端只要支持 ACME v2 版本,就可以申请通配符证书了.

2. 安装客户端工具Certbot

yum install -y certbot

certbot --version

备注:

Certbot从0.22.0版本开始支持ACME v2，如果你之前已安装旧版本客户户外程序需要更新到新版本

3. 验证该域名的所有权验证

我们都知道,在申请域名的ssl证书时都需要验证该域名的所有权验证,最常用的验证方式是: 给域名添加一个 DNS TXT 记录.

4. 创建证书命令

certbot certonly -d *.xxx.com --manual --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory

命令选项：

-d 为哪些主机申请证书,如果是通配符,输入 *.xxx.com

--preferred-challenges dns-01,使用 DNS 方式校验域名所有权

--server , Let's Encrypt ACME v2 版本使用的验证服务器

执行该命令后进入交互式操作界面，具体如下图示:

执行到上图最后一步时，先暂时不要回车; 接下来需要按照提示在域名托管商后台管理界面添加对应的 DNS TXT 记录, 以验证该域名所有权; 添加完成后，先输入命令dig -t txt _acme-challenge.xxx.com @223.5.5.5确认 TXT 记录是否生效,当确认TXT记录生效后,继续回车最后会输出如下内容:

恭喜您，证书申请成功。 证书和密钥保存在下列目录

校验证书信息

nginx配置文件使用生成的ssl证书:

Let's encrypt 的免费证书默认有效期为 90 天，到期后续期：certbot renew ，可使用脚本或定时任务定期更新证书有效期.