申请lets encrypt的通配符证书

centos 7

1、安装certbot

$ sudo yum install certbot

2、准备好域名,进到域名解析管理界面
命令行:

$ sudo certbot certonly  -d cz001.com.cn -d *.cz001.com.cn \
 --manual --preferred-challenges dns \
 --server https://acme-v02.api.letsencrypt.org/directory \
 --agree-tos

命令说明:
certonly 表示仅申请证书
-d 需要申请证书的域名,可多个,可通配符
--manual 手工交互式获取
--preferred-challenges 指定验证域名所有权的方法,这里用的是dns解析。通过增加指定的TXT解析项来验证对域名的所有权。
--server 指定分发证书的服务器,默认是v01的服务器,分发通配符证书需要v02的服务器。
--agree-tos 默认同意terms of services

根据提示,设置DNS的相关解析记录,完成证书申请。

证书将保存在:/etc/letsencrypt/live/cz001.com.cn/ 下面。 主要是 fullchain.pem和privkey.pem

要让证书能够被haproxy来使用,需要将fullchain和privkey合并:

$ cat /etc/letsencrypt/live/cz001.com.cn/fullchain.pem \ 
 /etc/letsencrypt/live/cz001.com.cn/privkey.pem >  \  
 /etc/haproxy/certs/cz001.com.cn.pem 

这样 /etc/haproxy/certs/cz001.com.cn.pem 就可以给haproxy用啦。

你可能感兴趣的:(申请lets encrypt的通配符证书)