惯例:讲两句
为什么要告别Let’s Encrypt,我用着好好的啊,方便部署,还免费申请,答案就在于Let’s Encrypt更换了它们的根证书,虽然我们知道Let’s Encrypt已经成为了顶级的CA机构,但自从更换根证书之后,部分老旧系统及都会有不支持或无法正确识别,且由于Let’s Encrypt被滥用,部分网站会针对拦截,因此我们为何不选择同样免费申请的亚洲诚信证书呢?
1.打开freessl网站,并注册账号
本次我们介绍的SSL证书为多域名通配符的亚洲诚信所提供的免费证书,在使用之前我们需要先进行注册,注册成功后返回主页便可以开始我们的操作。
2.输入需要创建证书的域名,并点击创建
如果需要单证书多域名,多个域名以”,”隔开,泛域名使用“*”后接主域,例如example.com,example.net,*.example.net(这样我们便请求申请了两个相同域名不同子域和一个不同域名的证书了)
3.进行DCV配置(验证域名所有权及签发证书)
进行第二步后的操作后,选择下一步后就到了DCV配置的页面,这里就需要到域名的DNS解析服务商进行配置了,如DNSSPOD,阿里云DNS,帝恩斯,CloudFlare的域名解析页面,根据提示,解析不同主域分别的Cname记录,添加记录成功后,等待几分钟再点击”配置完成,立即检测”的按钮即可,如记录已生效便会跳转至ACME部署页面
需要注意的是,相同主域的cname解析只需要一条记录,因为DCV的作用是验证域名所有权等,因此只需要验证一个主域,主域及子域均认证成功(以上面为例只需要添加“example.com与example.net”的cname记录即可)
4.配置ACME(自动续签服务)
在记录生效后请勿将记录删除,证书的签发与续期均需要用到,随后复制acme.sh的部署命令,在任意一台linux系统的小鸡中粘贴命令至ssh内,随后等待签发,几分钟内即可完成签发,完成签发后会提示成功
安装证书到指定文件夹
注意, 默认生成的证书都放在acme.sh的安装目录下: ~/.acme.sh/, 请不要直接使用此目录下的证书文件。
正确的食用方法是使用 --install-cert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置,随后copy出来的证书文件便可以正常食用,比如下面的代码,就是复制原始证书文件到root目录下(root目录下的private.key文件和cert.crt便是申请的私钥和证书文件)
~/.acme.sh/acme.sh --installcert -d --key-file /root/private.key --fullchain-file /root/cert.crt到此为止,你已经成功申请了一个自动无限续期的亚洲诚信多域名通配符证书,后面只要不出意外,你就不需要操心了,是不是没有你想象中的那么复杂。
warning 需要注意的
本次教程申请的ssl证书有效期为3个月,acme.sh会在证书申请后的2个月后进行自动续签,请确保cname记录的正确以及部署acme.sh所在小鸡的网络畅通和正常运行
发表回复