Vincent Liu

June 8, 2019

手动生成SSL通配符证书

以前一直使用的LNMP自动生成的证书, 也没在意生成的是不是通配符证书. 前段时间折腾私人网盘时, 竟然触发了Let’s Encrypt的申请证书次数限制. 遂来手动生成通配符SSL证书.

安装Certbot工具

Certbot是Let’s Encrypt官方推荐生成证书的工具. 在Terminal中运行以下命令来安装Certbot.

wget https://dl.eff.org/certbot-auto
sudo mv certbot-auto /usr/local/bin/certbot-auto
sudo chown root /usr/local/bin/certbot-auto
chmod 0755 /usr/local/bin/certbot-auto
/usr/local/bin/certbot-auto --install-only

申请通配符SSL证书

在Terminal中运行以下命令来生成通配符SSL证书(*.ariesme.com).

certbot-auto certonly --manual --preferred-challenges dns-01 -d *.ariesme.com --server https://acme-v02.api.letsencrypt.org/directory

过程中会要求检测域名TXT记录, 需要先修改域名DNS TXT记录(_acme-challenge.ariesme.com)成要求的信息. 添加后在另一个Terminal窗口中用以下命令检查TXT记录是否生效. 生效后在原命令窗口中回车继续生成证书.

dig -t txt _acme-challenge.ariesme.com

当出现如下信息时就说明生成成功了

- Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/ariesme.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/ariesme.com/privkey.pem

LNMP新建VHOST时就可以设置上述两个文件路径来使用我们自己手动生成的通配符证书.

手动更新证书

在Terminal中运行以下命令来更新已有证书(*.ariesme.com). 过程中会要求更新域名TXT记录, 与原申请证书时的步骤一致.

certbot-auto certonly --renew-by-default --manual --preferred-challenges dns-01 -d *.ariesme.com --server https://acme-v02.api.letsencrypt.org/directory

优缺点

这样手动生成的证书可以给所有二级域名使用, 做到一次生成多次使用.
由于是用_acme-challenge的DNS设置验证的域名所有权, 而且证书的有效期只有90天, 所以每次需要修改DNS来手动更新证书.

更新历史

Version	Detail	Date
1.0	初版	2019-06-08
1.1	手动更新证书	2019-10-08

Improve This Page

Prev
Elementary安装中文输入法

Next
Hugo添加Google收录

Table of Contents