D F+ 原创- 文档高亮

CertBot 泛域名签证-续订 Nginx CentOs7环境

版权声明 : 参考运维起点
  • L-Level
  • 0,000
  • 24/11/2018

Lets Encrypt 泛域名签证


sudo certbot certonly --webroot -w /usr/share/nginx/html/ -d yourdomain.com

sudo +

certbot certonly -d *.2broear.com --manual --preferred-challenges dns --server https://acme v02.api.letsencrypt.org/directory

主域名+泛域名

certbot certonly -d *.2broear.com -d 2broear.com --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory


续订记录
开始日期过期日期备注
2018
23/11/201821/02/2019 第一次使用 lets encrypt 泛域名签证
TXT_acme-challenge P-QYovRt-RzdyrdNzU8fmEHaSeqxJh47gev_W_IQpfk
2019
11/02/201912/05/2019 19年续订 lets encrypt 泛域名签证
TXT_acme-challenge.2broear.com EkDNKZdzr_USDzDCwLZObo36OCN1MJt6N_sDGIzd1lw
slideToggle
... ... ...
  • TEST
  • test_acme-challenge
  • P-QYovRt-RzdyrdNzU8fmEHaSeqxJh47gev_W_IQpfk

使用 Let's encrypt 官方提供的 Certbot 进行 泛域名签证 续约

2018年3月13日,Let’s Encrypt 终于在社区宣布支持通配符证书,但是泛域名有以下限制:

  • 无法通过webroot方式签证,必须使用dns的方式。
  • certbot提供了多个第三方的插件,但是没有国内的DNS服务商插件
  • 依然限制90天的有效期

签证的方式影响着我们的工作量,因为没有服务商提供的dns的插件,所以我们只能通过手动的交互方式来签证。

证书即将到期时,依然需要手动的方式去续约,如果你管理的域名不是很多,没三个月操作一次也是可以的,但是因为手上管理着几十个域名,所以感觉泛域名的方式也并非适合我。


泛域名证书中,.abc.com可以使用同一张证书,但是 123.*.abc.com就不能和 .abc.com使用同一张证书了,我们现在大量使用三级四级域名,所以这种泛域名的签证方式并不适合我们(需要手动更新,维护工作量巨大)


下面我们看一下怎么泛域名是怎么签证

泛域名签证使用的是ACME V2版本的协议,certbot0.22.0以上的版本支持新的协议,所以我们要先检查一下certbot的版本是否达到需求.

[root@OPS ~]# certbot --version

使用以下命令即可签发泛域名证书:

[root@OPS ~]# certbot certonly -d *.abc.com --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory

certonly 表示只签证
-d
指定了需要签证的域名
--manual 指定了以手工交互模式签证
--preferred-challenges dns 指定了通过DNS挑战来验证
--server 指定acme的服务器

回车之后会有一系列的交互信息需要填写,例如email地址、是否同意协议等

整个过程最重要的是你会看到如下信息:

---------------------------------------------------------------------------

Please deploy a DNS TXT record under the name

_acme-challenge.abc.com with the following value:


9L2_ihN6Y8AefoXbTBFN7n9ydVa4k5fF3z1qT5Zi6qE


Before continuing, verify the record is deployed.

---------------------------------------------------------------------------

Press Enter to Continue

看到以上信息的时候不要做任何操作,你需要到你的域名DNS解析增加一条如下解析:

记录类型 主机记录 解析线路 记录值 TXT _acme-challenge 默认 9L2_ihN6Y8AefoXbTBFN7n9ydVa4k5fF3z1qT5Zi6qE

解析之后等待生效。

续签的方式也是如此,修改DNS的TXT解析值。

Let's Encrypt Https

Let’s Encrypt is a free, automated, and open Certificate Authority. https://letsencrypt.org/

本文完结

最后的最后,再次感谢您抽空阅读本文~ 更多内容访问  https://blog.2broear.com

文章标签

  • Tags on-line

  • Https

  • Let's Encrypt

  • Nginx

  • CentOs7

  • CertBot

  • 野卡

  • 泛域名

  • 续签

  • Tags off-line

热门图片

推荐资讯

下载推荐

夜の视