Let's Encrypt dns验证获取证书

1前提,对web服务器安装ssl模块，使https服务可用。
步骤：
1,Let’s Encrypt推荐的客户端certbot。不同系统安装步骤都不太相同。但是官方主页针对不同的软件和系统和了详细的文档,这里不再介绍。我这里使用的是apache+centos

2, 运行命令：
sudo ./certbot-auto certonly -d www.xxx.com –manual –preferred-challenges dns

*各参数的意义：
certonly 表示 仅获取证书模式
-d www.xxx.com 代表要提交的域名信息，可提交多个，如 -d 1.xx.com -d 2.xx.com
–manual 表示使用manual 插件
–preferred-challenges dns 表示使用dns验证方式*

首先，会提示当前申请证书的主机ip将被公开记录，问你时候准备好：选Y

然后，自动给你一条记录，将它设置到域名解析里：
例如：记录名为
_acme-challenge.www.xxx.com
值为：
MvOSgARHJ18YBVMvOSgARHJ18YBVMvOSgARHJ18YB
进入你购买的域名的管理页面，添加一条解析：
类型：TXT 名：_acme-challenge.www.xxx.com（不同服务商可能只需要填_acme-challenge.www） 值：MvOSgARHJ18YBVMvOSgARHJ18YBVMvOSgARHJ18YB
设置完按回车，如果有多个解析会依次让你设置记录

等待验证：
如果顺利，就获得证书了！

自动保存在/etc/letsencrypt/live/www.xxx.com/下，有四个文件：
cert.pem申请的服务器证书文件
privkey.pem服务器证书对应的私钥
chain.pem除服务器证书外，浏览器解析所需的其他全部证书，比如根证书和中间证书
fullchain.pem包含服务器证书的全部证书链文件

3, 先确保你的web服务器安装了ssl模块，我的是apache,需安装mol_ssl。安装时自动生成一个本地证书，最好配置一个页面，浏览器试一下能不能用https访问，如果配置正确可以访问但有警告。找到ssl配置文件,一般名为ssl.conf（这里路径自己找）。
修改：SSLCertificateFile为/etc/letsencrypt/live/www.xxx.com/cert.pem
SSLCertificateKeyFile为/etc/letsencrypt/live/www.xxx.com/privkey.pem

4, 试一下https访问还有没有警告