Let's Encrypt 免費通配符 SSL 證書申請教程——但是也需要email,域名所有權等,如果是黑產用的話會這樣用嗎?會不會暴露自己身份???
Let‘s Encrypt 免費通配符 SSL 證書申請教程
from:https://blog.csdn.net/English0523/article/details/79608464
2018 年 3 月 14 日,Let’s Encrypt 對外宣布 ACME v2 已正式支持通配符證書。這就意外味著用戶可以在 Let’s Encrypt 上免費申請支持通配符的 SSL 證書。
什麽是 Let’s Encrypt
Let’s Encrypt 是國外一個公共的免費 SSL 項目,由 Linux 基金會托管。它的來頭不小,由 Mozilla、思科、Akamai、IdenTrust 和 EFF 等組織發起,目的就是向網站自動簽發和管理免費證書。以便加速互聯網由 HTTP 過渡到 HTTPS,目前 Facebook 等大公司開始加入贊助行列。
Let’s Encrypt 已經得了 IdenTrust 的交叉簽名,這意味著其證書現在已經可以被 Mozilla、Google、Microsoft 和 Apple 等主流的瀏覽器所信任。用戶只需要在 Web 服務器證書鏈中配置交叉簽名,瀏覽器客戶端會自動處理好其它的一切,Let’s Encrypt 安裝簡單,使用非常方便。
本文將會詳細介紹如何免費申請 Let’s Encrypt 通配符證書。
什麽是通配符證書
域名通配符證書類似 DNS 解析的泛域名概念,通配符證書就是證書中可以包含一個通配符。主域名簽發的通配符證書可以在所有子域名中使用,比如 .example.com、bbs.example.com
申請通配符證書
Let’s Encrypt 上的證書申請是通過 ACME 協議來完成的。ACME 協議規範化了證書申請、更新、撤銷等流程,實現了 Let’s Encrypt CA 自動化操作。解決了傳統的 CA 機構是人工手動處理證書申請、證書更新、證書撤銷的效率和成本問題。
ACME v2 是 ACME 協議的更新版本,通配符證書只能通過 ACME v2 獲得。要使用 ACME v2 協議申請通配符證書,只需一個支持該協議的客戶端就可以了,官方推薦的客戶端是 Certbot。
獲取 Certbot 客戶端
1
2
3
4
5
|
# 下載 Certbot 客戶端
$ wget https://dl.eff.org/certbot-auto
# 設為可執行權限
$ chmod a+x certbot-auto
|
註:Certbot 從 0.22.0 版本開始支持 ACME v2,如果你之前已安裝舊版本客戶端程序需更新到新版本。
更詳細的安裝可參考官方文檔:https://certbot.eff.org/
申請通配符證書
客戶在申請 Let’s Encrypt 證書的時候,需要校驗域名的所有權,證明操作者有權利為該域名申請證書,目前支持三種驗證方式:
- dns-01:給域名添加一個 DNS TXT 記錄。
- http-01:在域名對應的 Web 服務器下放置一個 HTTP well-known URL 資源文件。
- tls-sni-01:在域名對應的 Web 服務器下放置一個 HTTPS well-known URL 資源文件。
使用 Certbot 客戶端申請證書方法非常的簡單,只需如下一行命令就搞定了。
1
|
$ ./certbot-auto certonly -d "*.xxx.com" --manual --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
|
1.申請通配符證書,只能使用 dns-01 的方式。
2.xxx.com請根據自己的域名自行更改。
相關參數說明:
1
2
3
4
|
certonly 表示插件,Certbot 有很多插件。不同的插件都可以申請證書,用戶可以根據需要自行選擇。
-d 為哪些主機申請證書。如果是通配符,輸入 *.xxx.com (根據實際情況替換為你自己的域名)。
--preferred-challenges dns-01,使用 DNS 方式校驗域名所有權。
--server,Let‘s Encrypt ACME v2 版本使用的服務器不同於 v1 版本,需要顯示指定。
|
執行完這一步之後,就是命令行的輸出,請根據提示輸入相應內容:
執行到上圖最後一步時,先暫時不要回車。申請通配符證書是要經過 DNS 認證的,接下來需要按照提示在域名後臺添加對應的 DNS TXT 記錄。添加完成後,先輸入以下命令確認 TXT 記錄是否生效:
1
2
3
4
5
6
7
8
9
10
|
$ dig -t txt _acme-challenge.xxx.com @8.8.8.8
...
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;_acme-challenge.xxx.com. IN TXT
;; ANSWER SECTION:
_acme-challenge.xxx.com. 599 IN TXT "xxUHdwoZ6IaU_ab87h67rvbU2yJgdRyRe9zEA3jw"
...
|
確認生效後,回車繼續執行,最後會輸出如下內容:
1
2
3
4
5
6
7
8
9
10
11
12
13
|
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/xxx.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/xxx.com/privkey.pem
Your cert will expire on 2018-06-12. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let‘s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
|
到了這一步後,恭喜您,證書申請成功。 證書和密鑰保存在下列目錄:
1
2
3
4
5
6
|
$ tree /etc/letsencrypt/live/xxx.com/
.
├── cert.pem
├── chain.pem
├── fullchain.pem
└── privkey.pem
|
校驗證書信息,輸入如下命令:
1
2
3
4
5
6
7
8
9
10
11
|
$ openssl x509 -in /etc/letsencrypt/live/xxx.com/cert.pem -noout -text
# 可以看到證書包含了 SAN 擴展,該擴展的值就是 *.xxx.com
...
Authority Information Access:
OCSP - URI:http://ocsp.int-x3.letsencrypt.org
CA Issuers - URI:http://cert.int-x3.letsencrypt.org/
X509v3 Subject Alternative Name:
DNS:*.xxx.com
...
|
到此,我們就演示了如何在 Let’s Encrypt 申請免費的通配符證書。
其它相關
- 證書續期
Let’s encrypt 的免費證書默認有效期為 90 天,到期後如果要續期可以執行:
1
|
$ certbot-auto renew
|
- 在 Nginx 中 配置 Let’s Encrypt 證書
Nginx 配置文件片斷:
1
2
3
4
5
6
7
8
9
10
11
12
|
server {
server_name xxx.com;
listen 443 http2 ssl;
ssl on;
ssl_certificate /etc/cert/xxx.com/fullchain.pem;
ssl_certificate_key /etc/cert/xxx.com/privkey.pem;
ssl_trusted_certificate /etc/cert/xxx.com/chain.pem;
location / {
proxy_pass http://127.0.0.1:6666;
}
}
|
參考文檔
https://www.google.com
https://www.jianshu.com/p/c5c9d071e395
https://my.oschina.net/kimver/blog/1634575
Let's Encrypt 免費通配符 SSL 證書申請教程——但是也需要email,域名所有權等,如果是黑產用的話會這樣用嗎?會不會暴露自己身份???