Top Menu

如何申请Let’s Encrypt的泛域名证书

2018年3月13日,Let’s Encrypt终于上线了在1月就应该上线的泛域名证书,这个证书类型为泛域名提供了可用的HTTPS方案。

获取泛域名证书

安装Certbot

从官方源安装最新版certbot(最新版为0.22.0,从0.22.0版本才开始支持泛域名申请,不推荐从Debian源安装,常年不更新,还停留在0.10)

初始化

获取证书

泛域名目前只支持以DNS方式验证域名所有权

因为目前大多数国内的DNS服务商不在API支持的列表里,所以以下使用手动方式进行DNS认证,只要将下方命令中的 *.minirplus.com 替换为自己的域名即可

注意!域名的 minirplus.com 解析记录必须以A记录方式指向当前运行命令的服务器IP,而不能使用CNAME记录。否则会报错,报错信息如下:

运行该命令后,会要求输入邮箱,用于接收证书过期通知

接着会出现一段广告,大意是收集客户邮箱给赞助商,Y或N均可

接着重要的部分来了,在DNS记录中添加一个 _acme-challenge 前缀的域名TXT记录,记录的内容为中间显示的随机码

接着确保当前域名的根记录 minirplus.com 为A记录并且指向当前服务器IP(这条原本不成问题,因为国外的服务商的DNS根域名只能添加A记录,但是国内的DNSPOD则更加灵活,可以添加CNAME记录,所以会在认证的时候出现问题)

按回车,进行认证

等待片刻,出现如下信息,说明认证成功

修改Apache配置文件

进入/etc/apache2/sites-available,修改泛域名配置文件(这里以000-default.conf为例),添加SSL配置,将下面配置中的SSL证书地址,替换为之前成功获取的证书地址(如直接使用以下配置,请修改DocumentRoot和Directory目录为泛域名指向的目录)

效果

当用户访问任意域名,例如https://xVloe7V1kMEd2ZlOLlUxv.minirplus.com

都会看到绿色的HTTPS连接标志。

总结

有了泛域名证书之后有几个好处

  1. 只要申请一次,所有子域名都可以使用,再也不用重复申请证书了。
  2. 用户随机生成的子域名也可以使用HTTPS访问了。

Know more

作为Let’s Encrypt方案的对比,Godaddy的SSL证书价格为

  • 单域名:HK$493.00/年
  • 泛域名:HK$1,944.00/年

4 comments

  • Hello, guest

Powered by WordPress. Designed by WooThemes