centos7全自动生成letsencrypt通配符证书最佳实践

完成centos7完全自动化的生成letsencrypt通配符证书，整个过程花了我差不多一周的时间，其中有6天半的时间都是在搜集各种资料，当资料找齐之后，很快就完成了证书生成。
写下这篇文章希望能为你节省6天半的时间。

之所有能够实现自动化的ssl通配符证书要得益于两次更新
1.2018年3月letsencrypt开始支持通配符证书
2.certbo支持以hook的方式通过操作DNS服务商的API进行域名所有权的验证。

我们这次要用到两个工具
1.certbot
2.支持阿里云DNS的hook

操作过程
1.安装certbo

yum install certbot

2.获取dns验证插件

git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au
cd certbot-letencrypt-wildcardcertificates-alydns-au
chmod 0777 au.sh

3.在阿里云后台获取操作DNS服务的API key和密钥然后配置到au.sh文件里面的ALY_KEY 和 ALY_TOKEN

4.执行下面的操作就可以生成你的通配符证书了(注意两个域名的顺序)

certbot certonly  -d example.com -d *.example.com --manual \
--preferred-challenges dns   \
--manual-auth-hook "/脚本目录/au.sh php aly add" \
--manual-cleanup-hook "/脚本目录/au.sh php aly clean"

5.你可以通过Mozilla的ssl配置生成网站生成你的最佳配置

6.因为是通配符证书，所以你可能在很多虚拟主机上都会用到，那么你可以把ssl部分的配置写在一个单独文件里面，然后在其他需要用到的地方直接include

7.你可以通过这个网站来查看你的域名证书等级。