MYBLOG

独角戏演员的孤单表演场~

CentOS上使用Certbot申请通配符证书配置HTTPS

2019-12-27 19:18:51散文札记

本人平时习惯用CentOS和lnmp做网站,现在的网站一般都需要配置HTTPS访问,如果是阿里云或腾讯云等,可以用DNS域名服务商的API配置免费的Let's encrypt通配符SSL证书,并且能自动更新,操作非常方便。但是有些服务器和域名注册商没有提供相应的API,那么做HTTPS配置就比较麻烦了。而本人的vultr服务器和西部数码的域名就有这个问题,不能配置通配符SSL并且需要手动更新记录。

最近,在配置vultr网站时发现Let's encrypt官方推荐的Certbot在0.22版本以上可以签署通配符SSL证书了,赶紧根据说明进行了配置,并把相关步骤和遇到的问题进行总结,希望能帮到有同样需要的你们。

系统升级:
yum update -y
查看系统版本:

cat  /etc/centos-release

安装certbot:
yum install certbot -y

安装epel-release
如果不能安装certbot,则需要先安装epel-release
yum install -y epel-release

查看certbot版本:
certbot --version

申请RSA通配符
certbot -d yijutuan.com -d *.yijutuan.com --manual --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory certonly --agree-tos

yijutuan.com请换成你自己的域名。
第一次会要求输入邮箱,然后要用 “Y” 确认IP地址。然后根据显示的提示给自己的DNS解析增加一个TXT记录。
_acme-challenge.yijutuan.com p-zZAEFmGQZKPFx1e8-vMK55mVENgcLn_-4sb6evrAM

在TXT记录设置好并且生效之后,按回车进行校验通过之后会在服务器生成相应的证书文件。

IMPORTANT NOTES:

 1. Congratulations! Your certificate and chain have been saved at:

   /etc/********/fullchain.pem

   Your key file has been saved at:

   /etc/********/privkey.pem

   Your cert will expire on 2020-03-24. To obtain a new or tweaked

   version of this certificate in the future, simply run certbot

   again. To non-interactively renew *all* of your certificates, run

   "certbot renew"

 2. If you like Certbot, please consider supporting our work by:



   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate

   Donating to EFF:                    https://eff.org/donate-le


certbot命令运行未完成
certbot命令运行没有完成然后终端出现断线时,再次运行时可以出现:Another instance of Certbot is already running 错误。这时候要先要找到然后清除。
输入命令列出锁定的文件

find / -type f -name ".certbot.lock" 

然后进行删除。

find / -type f -name ".certbot.lock" -exec rm {} ;

windows查询DNS的TXT记录
在DNS解析做出TXT记录改变时,可以用nslookup命令查询是否已经生效。
nslookup
set q=TXT
_acme-challenge.yijutuan.com

在lnmp里设置虚拟主机
lnmp vhost add
yijutuan.com
*.yijutuan.com

前面的根据自己选择在最后一项

Add SSL Certificate (y/n) 

选第一选项

 1. Use you own SSL Certificate and Key.

然后根据第6步的输出提示的Certificate和Key的路径和文件名进行输入。完成配置。

全部留言 10

吳亦凡2018/06/06

敢问大师,师从何方?上古高人呐逐一地看完你的作品后,我的心久久 不能平静!这世间怎么可能还有如此精辟的作品?我不敢相信自己的眼睛。自从改革开放以后,我就以为再也不会有任何作品能打动我,没想到今天看到这个如此精妙绝伦的作品好厉害!

吳亦凡2018/06/06

敢问大师,师从何方?上古高人呐逐一地看完你的作品后,我的心久久 不能平静!这世间怎么可能还有如此精辟的作品?我不敢相信自己的眼睛。自从改革开放以后,我就以为再也不会有任何作品能打动我,没想到今天看到这个如此精妙绝伦的作品好厉害!

吳亦凡2018/06/06

敢问大师,师从何方?上古高人呐逐一地看完你的作品后,我的心久久 不能平静!这世间怎么可能还有如此精辟的作品?我不敢相信自己的眼睛。自从改革开放以后,我就以为再也不会有任何作品能打动我,没想到今天看到这个如此精妙绝伦的作品好厉害!

吳亦凡2018/06/06

敢问大师,师从何方?上古高人呐逐一地看完你的作品后,我的心久久 不能平静!这世间怎么可能还有如此精辟的作品?我不敢相信自己的眼睛。自从改革开放以后,我就以为再也不会有任何作品能打动我,没想到今天看到这个如此精妙绝伦的作品好厉害!

吳亦凡2018/06/06

敢问大师,师从何方?上古高人呐逐一地看完你的作品后,我的心久久 不能平静!这世间怎么可能还有如此精辟的作品?我不敢相信自己的眼睛。自从改革开放以后,我就以为再也不会有任何作品能打动我,没想到今天看到这个如此精妙绝伦的作品好厉害!

0.030301s