如何申请Let’s Encrypt的泛域名证书

2018年3月13日，Let’s Encrypt终于上线了在1月就应该上线的泛域名证书，这个证书类型为泛域名提供了可用的HTTPS方案。

获取泛域名证书

安装Certbot

从官方源安装最新版certbot（最新版为0.22.0，从0.22.0版本才开始支持泛域名申请，不推荐从Debian源安装，常年不更新，还停留在0.10）

初始化

获取证书

泛域名目前只支持以DNS方式验证域名所有权

因为目前大多数国内的DNS服务商不在API支持的列表里，所以以下使用手动方式进行DNS认证，只要将下方命令中的 *.minirplus.com 替换为自己的域名即可

注意！域名的 minirplus.com 解析记录必须以A记录方式指向当前运行命令的服务器IP，而不能使用CNAME记录。否则会报错，报错信息如下：

运行该命令后，会要求输入邮箱，用于接收证书过期通知

接着会出现一段广告，大意是收集客户邮箱给赞助商，Y或N均可

接着重要的部分来了，在DNS记录中添加一个 _acme-challenge 前缀的域名TXT记录，记录的内容为中间显示的随机码

接着确保当前域名的根记录 minirplus.com 为A记录并且指向当前服务器IP（这条原本不成问题，因为国外的服务商的DNS根域名只能添加A记录，但是国内的DNSPOD则更加灵活，可以添加CNAME记录，所以会在认证的时候出现问题）

按回车，进行认证

等待片刻，出现如下信息，说明认证成功

修改Apache配置文件

进入/etc/apache2/sites-available，修改泛域名配置文件（这里以000-default.conf为例），添加SSL配置，将下面配置中的SSL证书地址，替换为之前成功获取的证书地址（如直接使用以下配置，请修改DocumentRoot和Directory目录为泛域名指向的目录）

效果

当用户访问任意域名，例如https://xVloe7V1kMEd2ZlOLlUxv.minirplus.com

都会看到绿色的HTTPS连接标志。

总结

有了泛域名证书之后有几个好处

1. 只要申请一次，所有子域名都可以使用，再也不用重复申请证书了。
2. 用户随机生成的子域名也可以使用HTTPS访问了。

Know more

作为Let’s Encrypt方案的对比，Godaddy的SSL证书价格为

• 单域名：HK$493.00/年
• 泛域名：HK$1,944.00/年