CentOS上使用Certbot申请通配符证书配置HTTPS

作者:独角戏演员 2019-12-27 19:18:51
326 14 0

        本人平时习惯用CentOS和lnmp做网站,现在的网站一般都需要配置HTTPS访问,如果是阿里云或腾讯云等,可以用DNS域名服务商的API配置免费的Let's encrypt通配符SSL证书,并且能自动更新,操作非常方便。但是有些服务器和域名注册商没有提供相应的API,那么做HTTPS配置就比较麻烦了。而本人的vultr服务器和西部数码的域名就有这个问题,不能配置通配符SSL并且需要手动更新记录。

        最近,在配置vultr网站时发现Let's encrypt官方推荐的Certbot在0.22版本以上可以签署通配符SSL证书了,赶紧根据说明进行了配置,并把相关步骤和遇到的问题进行总结,希望能帮到有同样需要的你们。

更新升级系统

yum update -y 

查看系统版本:
cat  /etc/centos-release

如果certbot没有安装,那么用下列命令安装certbot:
yum install certbot -y

安装epel-release
如果不能安装certbot,则需要先安装epel-release
yum install -y epel-release


查看certbot版本:
certbot --version


申请RSA通配符
certbot -d yijutuan.com -d *.yijutuan.com --manual --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory certonly --agree-tos


yijutuan.com请换成你自己的域名。第一次会要求输入邮箱,然后要用 “Y” 确认IP地址。然后根据显示的提示给自己的DNS解析增加一个TXT记录。
_acme-challenge.yijutuan.com p-zZAEFmGQZKPFx1e8-vMK55mVENgcLn_-4sb6evrAM


在TXT记录设置好并且生效之后,按回车进行校验通过之后会在服务器生成相应的证书文件。
IMPORTANT NOTES:

 1. Congratulations! Your certificate and chain have been saved at:

   /etc/********/fullchain.pem

   Your key file has been saved at:

   /etc/********/privkey.pem

   Your cert will expire on 2020-03-24. To obtain a new or tweaked

   version of this certificate in the future, simply run certbot

   again. To non-interactively renew *all* of your certificates, run

   "certbot renew"

 2. If you like Certbot, please consider supporting our work by:



   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate

   Donating to EFF:                    https://eff.org/donate-le


常见问题:certbot命令运行未完成
        certbot命令运行没有完成然后终端出现断线时,再次运行时可以出现:Another instance of Certbot is already running 错误。这时候要先要找到然后清除。
输入命令列出锁定的文件
find / -type f -name ".certbot.lock" 

然后进行删除。
find / -type f -name ".certbot.lock" -exec rm {} ;

Windows查询DNS的TXT记录
在DNS解析做出TXT记录改变时,可以用nslookup命令查询是否已经生效。
nslookup

set q=TXT

_acme-challenge.yijutuan.com


在lnmp里设置虚拟主机
lnmp vhost add

yijutuan.com

*.yijutuan.com


前面的根据自己选择在最后一项,然后选择Y,回车。选择1,数据前面的证书路径和文件名。完成配置。
Add SSL Certificate (y/n)

1. Use you own SSL Certificate and Key.


【壹剧团】备注:本篇文章如有牵涉版权或其他问题,请随时邮件联系,必将及时响应。