什么是 Let’s Encrypt?部署 HTTPS 网站的时候需要证书,证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 HTTPS 协议的使用。Let’s Encrypt 由于是非盈利性质的组织,需要控制开支,他们搞了一个非常有创意的事情,设计了一个 ACME 协议,目前该协议的版本是 v1。网站安全那为什么要创建 ACME 协议呢,传统的 CA 机构是人工受理证书申请、证书更新、证书撤销,完全是手动处理的。而 ACME 协议规范化了证书申请、更新、撤销等流程,只要一个客户端实现了该协议的功能,通过客户端就可以向 Let’s Encrypt 申请证书,也就是说 Let’s Encrypt CA 完全是自动化操作的。任何人都可以基于 ACME 协议实现一个客户端,官方推荐的客户端是Certbot 。快速使用git clone https://github.com/letsencrypt/letsencrypt.git
使用Git进行Clone,下载之后就可以直接进行证书生成了。生成代码:./certbot-auto certonly -d *.yeetong.cn –manual –preferred-challenges dns –server https://acme-v02.api.letsencrypt.org/directory
注:certonly 表示安装模式,Certbot 有安装模式和验证模式两种类型的插件。–manual 表示手动安装插件,Certbot 有很多插件,不同的插件都可以申请证书,用户可以根据需要自行选择-d 设置主机(域名)申请证书,如果是通配符,输入 *.yeetong.cn–preferred-challenges dns,使用 DNS 方式校验域名所有权–server,Let’s Encrypt ACME v2 版本使用的服务器不同于 v1 版本,需要显示指定。进入代码根目录,执行上面的命令,会输出一下信息:执行命令输出提示上述有两个交互式的提示:是否同意 Let’s Encrypt 协议要求询问是否对域名和机器(IP)进行绑定确认同意(输入”Y”)才能继续。继续查看命令行的输出,非常关键:提示配置域名TXT解析要求配置 DNS TXT 记录,从而校验域名所有权,也就是判断证书申请者是否有域名的所有权。配置域名TXT解析确认生效后,回车执行,输出如下:证书生成成功提示证书生成成功后,将证书配置到Nginx中:Nginx配置重启Nginx证书即生效。生效证书
本文出自快速备案,转载时请注明出处及相应链接。
