怎么学网站建设,网络营销常用的方法,红旗h5,怎么拥有自己的网站我们在使用let’s encrypt获取免费的HTTPS证书的时候#xff0c;let’s encrypt需要对域名进行验证#xff0c;以确保域名是你自己的 之前用默认的文件验证方式总有奇怪的问题导致失败#xff0c;我也是很无奈#xff0c;于是改用验证DNS-TXT记录的方式来验证#xff0c;而…我们在使用let’s encrypt获取免费的HTTPS证书的时候let’s encrypt需要对域名进行验证以确保域名是你自己的 之前用默认的文件验证方式总有奇怪的问题导致失败我也是很无奈于是改用验证DNS-TXT记录的方式来验证而且貌似如果申请泛域名证书也只能通过这个方式验证
本来呢我只打算在这篇记一下验证DNS记录的方式签发证书不过以前也没写过如何用certbot签发免费Let’s Encrypt SSL证书诶那正好就重头把过程写一遍。
一、安装Certbot
1.1 根据官网提示步骤安装
先去Certbot 官网在网页上选择使用的服务器软件和系统版本会跳转到安装的文档 根据提示的步骤安装即可
1.2 使用自动安装脚本安装
wget https://dl.eff.org/certbot-auto
chmod ax certbot-auto # 给脚本执行权限接下来直接使用该脚本进行签发证书等操作即可 第一次使用该脚本时会自动安装依赖。 官网提示的通过软件包管理安装的certbot之后是可以直接使用certbot命令进行操作的 我接下来的描述中执行命令默认是直接用certbot命令 如果你是用自动安装脚本certbot-auto的话直接用这个脚本进行操作我下面描述的命令里的certbot换成./certbot-auto 二、获取SSL证书
2.1 获取签发证书standalone 直接使用certbot certonly命令即可开始签发根据提示先选择模式一般选择standalone使用standalone需要先停止nginx等服务器运行然后根据提示列出需签的域名之后会开始验证通过之后会将生成的证书文件保存。
2.2 获取泛域名签发证书
获取泛域名签发证书manual通过DNS-TXT记录来验证域名有效性 标题上线啦这篇主要还是来讲这个验证问题的感觉用这种方式签发更稳当一点。
certbot certonly --preferred-challenges dns -d *.example.com -d example.com --manual用这个命令来手动验证DNS签发 这里我用example.com来假设要签的域名-d后面跟着一个域名如果有多个域名要签的话记得每一个单独的域名前都要写-d。 我指定了两个-d参数因为certbot的泛域名其实只支持诸如*.example.com如要直接使用example.com就得为其单独也签发一条。
回车执行之后会开始提示你给你的域名添加TXT解析记录。
这里将提示你为域名添加一个_acme-challenge的TXT记录记录值为生成的一串字符。 这个只需要你去DNS服务商那里添加即可这里如果你 -d 了几条不同的二级域名那每个二级域名都要添加记录在你添加完一个域名的记录值在控制台回车之后会提示你下一个域名的记录值
在你添加完记录保存之后最好要检查一下解析记录。 在其他终端输入下面命令示例example.com记得修改
nslookup -typetxt _acme-challenge.example.com 8.8.8.8
# 或者
dig -t txt _acme-challenge.example.com如果包含你所添加的记录值那么说明添加成功
那现在就可以控制台继续回车不会意外就会把签发的证书文件保存控制台打印出来证书文件的存放位置一般情况下是会保存在/etc/letsencrypt/live/example.com目录下
这个目录下一般会有四个文件 cert.pem: 服务器证书 chain.pem: 包含Web浏览器为验证服务器而需要的证书或附加中间证书 fullchain.pem: cert.pem chain.pem privkey.pem: 证书的私钥 我们一般用fullchain.pem和privkey.pem就可以了
三、在Nginx配置使用证书
这里我就不展开说了监听的443端口设置ssl_certificate和ssl_certificate_key基本上就可以了 我这里贴上我自己的一段示例
server {listen 443 ssl;server_name example.com;ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;ssl_session_timeout 10m;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;ssl_prefer_server_ciphers on;location / {# 你自己配置;}
}四、证书续期与注销
4.1 续期 免费的let’s encrypt有3个月的时间到期前需要续期 第一次使用certbot签时如果输入了邮箱地址证书快到期前是会发邮件提醒你的 单域名使用下面的命令续期
certbot renew --dry-run设置自动续期的话只需要写脚本放在Cron中定时运行即可crontab -e打开crontab脚本添加如下的脚本
0 3 */7 * * /bin/certbot renew --renew-hook /where/your/nginx -s reload 这个脚本表示每隔 7 天夜里 3 点整自动执行检查续期命令一次。续期完成后重启 nginx 服务 添加完后重启cron服务即可
service crond restart泛域名通过DNS-TXT记录(自动)续期 这个就稍微麻烦一点我们需要使用到DNS服务商提供的API在renew证书时可以自动添加更新TXT记录来实现自动更新当然一般还需要DNS服务商给用户提供的API密钥确保安全等 我先列出一些DNS插件的地址具体的可以去查看插件安装使用方法当然其他第三方的DNS插件也可以在github里找找
certbot提供的DNS插件列表 阿里云DNS插件 dnspod插件腾讯云
我这里使用的是DNSPOD于是我也就只描述以下使用dnspod插件的情况 下载certbot-auth-dnspod脚本 wget https://raw.githubusercontent.com/al-one/certbot-auth-dnspod/master/certbot-auth-dnspod.sh
chmod x certbot-auth-dnspod.sh获取用户DNSPOD token
登录dnspod后在控制台的用户中心 - 安全设置下找到「API Token」开启并创建token后复制下id和token
配置token信息
echo id,token /etc/dnspod_token把id和token换成刚刚复制下来的真实内容 接下来就可以使用插件进行续期了
certbot renew --manual --preferred-challenges dns --manual-auth-hook /path/to/certbot-auth-dnspod.sh --force-renewal如果要自动续期就可以将下面的代码加入crontab中再重启cron服务具体的过程上面说过了这里也不再赘述
29 3 1 * * root /bin/certbot renew --manual --preferred-challenges dns --manual-auth-hook /path/to/certbot-auth-dnspod.sh --force-renewal --post-hook /where/your/nginx -s reload 这是每个月1号3点29分执行一次强制证书更新后重启nginx
当然用插件进行申请证书自动DNS验证也是可以的
certbot certonly --manual --preferred-challenges dns-01 --email maildomain.com -d laravel.run -d *.example.com --server https://acme-v02.api.letsencrypt.org/directory --manual-auth-hook /path/to/certbot-auth-dnspod.sh 4.2 注销
使用下面的命令可以查看已生成的证书信息包括证书名称包含的域名到期时间以及证书文件路径
certbot certificates找到你要注销的证书复制下证书文件的路径然后使用下面的命令注销
certbot revoke --cert-path /etc/letsencrypt/live/example.com/fullchain.pem参考链接https://blog8.flyky.org/20191108/certbot-DNS-TXT-check/
