通配符证书申请

什么是通配符证书

1
2
域名通配符证书类似 DNS 解析的泛域名概念,通配符证书就是证书中可以包含一个通配符。
主域名签发的通配符证书可以在所有子域名中使用,比如 .example.com、bbs.example.com。

申请通配符证书

1
2
3
4
5
Let’s Encrypt 上的证书申请是通过 ACME 协议来完成的。
ACME 协议规范化了证书申请、更新、撤销等流程,实现了 Let’s Encrypt CA 自动化操作。
解决了传统的 CA 机构是人工手动处理证书申请、证书更新、证书撤销的效率和成本问题。
ACME v2 是 ACME 协议的更新版本,通配符证书只能通过 ACME v2 获得。
要使用 ACME v2 协议申请通配符证书,只需一个支持该协议的客户端就可以了,官方推荐的客户端是 Certbot。

获取 Certbot 客户端

1
2
3
4
# 下载 Certbot 客户端
$ wget https://dl.eff.org/certbot-auto
# 设为可执行权限
$ chmod a+x certbot-auto

申请通配符证书

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
客户在申请 Let’s Encrypt 证书的时候,需要校验域名的所有权,证明操作者有权利为该域名申请证书,目前支持三种验证方式:

dns-01:给域名添加一个 DNS TXT 记录。
http-01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件。
tls-sni-01:在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件。
使用 Certbot 客户端申请证书方法非常的简单,只需如下一行命令就搞定了。

执行命令 ./certbot-auto certonly  -d "*.xxx.com" --manual --preferred-challenges dns-01  --server https://acme-v02.api.letsencrypt.org/directory

1.申请通配符证书,只能使用 dns-01 的方式。
2.xxx.com 请根据自己的域名自行更改。
3.可以分装一个脚本
脚本内容:
cd /usr/autoSsl/
./certbot-auto certonly  -d "*.lich2333.tk" --manual --preferred-challenges dns-01  --server https://acme-v02.api.letsencrypt.org/directory

命令行输入如图

1
二级域名使用这个: _acme-challenge

添加dns-txt内容到dns解析时等待一下

1
2
3
4
5
6
执行到上图最后一步时,先暂时不要回车。
申请通配符证书是要经过 DNS 认证的,接下来需要按照提示在域名后台添加对应的 DNS TXT 记录。
添加完成后,先输入以下命令确认 TXT 记录是否生效:
dig  -t txt _acme-challenge.xxx.com @8.8.8.8  (xxx.com 请根据自己的域名自行更改。)

这步验证通过后如图

1
2
3
4
5
就可以得到配置在nginx里面的证书与钥
Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/xxx.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/xxx.com/privkey.pem

其它相关

证书续期

Let’s encrypt 的免费证书默认有效期为 90 天,到期后如果要续期可以执行:
certbot-auto renew

Nginx 配置文件片断:

server {
server_name xxx.com;
listen 443 http2 ssl;
ssl on;
ssl_certificate /etc/cert/xxx.com/fullchain.pem;
ssl_certificate_key /etc/cert/xxx.com/privkey.pem;
ssl_trusted_certificate /etc/cert/xxx.com/chain.pem;

location / {
  proxy_pass http://127.0.0.1:6666;
}

}