申请免费Let's Encrypt通配符SSL证书详细教程

文章出自虎书博客，转载请注明出处。

2018年3月14日，Let’s Encrypt对外宣布ACME v2已正式支持通配符证书。这就意外味着用户可以在Let’s Encrypt上免费申请支持通配符的SSL证书。

什么是 Let’s Encrypt

Let's Encrypt是国外一个公共的免费SSL项目，由Linux基金会托管。它的来头不小，由 Mozilla、思科、Akamai、IdenTrust和EFF等组织发起，目的就是向网站自动签发和管理免费证书。以便加速互联网由HTTP过渡到HTTPS，目前Facebook等大公司开始加入赞助行列。

Let’s Encrypt已经得了IdenTrust的交叉签名，这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任。用户只需要在Web服务器证书链中配置交叉签名，浏览器客户端会自动处理好其它的一切，Let’s Encrypt安装简单，使用非常方便。
本文将会详细介绍如何免费申请Let’s Encrypt通配符证书。

什么是通配符证书

域名通配符证书类似DNS解析的泛域名概念，通配符证书就是证书中可以包含一个通配符。主域名签发的通配符证书可以在所有子域名中使用，比如 .example.com、bbs.example.com。

申请通配符证书

Let’s Encrypt上的证书申请是通过ACME协议来完成的。ACME协议规范化了证书申请、更新、撤销等流程，实现了Let’s Encrypt CA自动化操作。解决了传统的CA机构是人工手动处理证书申请、证书更新、证书撤销的效率和成本问题。

ACME v2是ACME协议的更新版本，通配符证书只能通过ACME v2获得。要使用ACME v2协议申请通配符证书，只需一个支持该协议的客户端就可以了，官方推荐的客户端是Certbot。

获取 Certbot 客户端

下载 Certbot 客户端 （安装至/home目录下）

cd /home
wget https://dl.eff.org/certbot-auto

设为可执行权限

chmod a+x certbot-auto

申请通配符证书

客户在申请Let’s Encrypt证书的时候，需要校验域名的所有权，证明操作者有权利为该域名申请证书，目前支持三种验证方式：

dns-01：给域名添加一个 DNS TXT 记录。
http-01：在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件。
tls-sni-01：在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件。

使用Certbot客户端申请证书方法非常的简单，只需如下一行命令就搞定了。

特别注意：

1、申请通配符证书，只能使用 dns-01 的方式。
2、xxx.com 请根据自己的域名自行更改。如果要.xxx.com xxx.com都可以使用需要配置 -d ".xxx.com" -d "xxx.com"。

./certbot-auto certonly  -d "*.xxx.com" -d "xxx.com" --manual --preferred-challenges dns-01  --server https://acme-v02.api.letsencrypt.org/directory

执行完这一步之后，就是命令行的输出，请根据提示输入相应内容：

执行到上图最后一步时，先暂时不要回车。申请通配符证书是要经过DNS认证的，接下来需要按照提示在域名后台添加对应的DNS TXT记录。确认生效后，回车继续执行，最后会输出如下内容：

到了这一步后，恭喜您，证书申请成功。

相关参数说明：

certonly    表示插件，Certbot有很多插件。不同的插件都可以申请证书，用户可以根据需要自行选择。
-d          为哪些主机申请证书。如果是通配符，输入 *.xxx.com（根据实际情况替换为你自己的域名）
--preferred-challenges dns-01      使用DNS方式校验域名所有权
--server     Let's Encrypt ACME v2版本使用的服务器不同于v1版本，需要显示指定

证书续期

Let’s encrypt 的免费证书默认有效期为 90 天，到期后如果要续期可以执行：

/home/certbot-auto renew

在Nginx.conf配置 Let’s Encrypt证书：

server {
    server_name xxx.com;
    listen 443 http2 ssl;
    ssl on;
    ssl_certificate /etc/letsencrypt/live/xxx.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/xxx.com/privkey.pem;

    location / {
      proxy_pass http://127.0.0.1:6666;
    }
}

原文链接：www.tigerbook.cn/article-62.html