這篇文章介紹一種免費申請CA證書的方式，而且是通配符域名哦。首先介紹一下證書頒發(fā)機(jī)構(gòu)的背景。

Let's Encrypt

Let's Encrypt是一個于2015年三季度推出的數(shù)字證書認(rèn)證機(jī)構(gòu)，旨在以自動化流程消除手動創(chuàng)建和安裝證書的復(fù)雜流程，并推廣使萬維網(wǎng)服務(wù)器的加密連接無所不在，為安全網(wǎng)站提供免費的SSL/TLS證書。Let's Encrypt由互聯(lián)網(wǎng)安全研究小組（縮寫ISRG）提供服務(wù)。主要贊助商包括電子前哨基金會、Mozilla基金會、Akamai以及思科。2015年4月9日，ISRG與Linux基金會宣布合作。用以實現(xiàn)新的數(shù)字證書認(rèn)證機(jī)構(gòu)的協(xié)議被稱為自動證書管理環(huán)境（ACME）。GitHub上有這一規(guī)范的草案，且提案的一個版本已作為一個Internet草案發(fā)布。

Let's Encrypt宣稱這一過程將十分簡單、自動化并且免費。

• 2015年8月7日，該服務(wù)更新其推出計劃，預(yù)計將在2015年9月7日發(fā)布首個證書，隨后向列入白名單的域名發(fā)行少量證書并逐漸擴(kuò)大發(fā)行量。

• 2015年12月3日，服務(wù)進(jìn)入公測階段，正式面向公眾。

• 2016年3月8日，ISRG宣布已經(jīng)簽發(fā)了第一百萬張證書。

• 2016年4月12日，該項目正式離開Beta階段。

• 2017年6月28日，ISRG宣布，他們已經(jīng)簽發(fā)了一億張證書。

技術(shù)

2015年6月，Let's Encrypt得到了一個存儲在硬件安全模塊中的離線的RSA根證書。這個由IdenTrust證書簽發(fā)機(jī)構(gòu)交叉簽名的根證書，被用于簽署兩個證書。其中一個就是用于簽發(fā)請求的證書，另一個則是保存在本地的證書，這個證書用于在上一個證書出問題時作備份證書之用。因為IdenTrust的CA根證書目前已被預(yù)置于主流瀏覽器中，所以Let's Encrypt簽發(fā)的證書可以從項目開始時就被識別并接受，甚至在用戶的瀏覽器中沒有信任ISRG的根證書時也沒問題。為了解決對Windows XP的兼容性，目前Let's Encrypt已經(jīng)獲取了另外兩個根證書，原來的證書作為備用。

Let's Encrypt的開發(fā)者們本計劃在2015年年末推出簽發(fā)ECDSA根證書的服務(wù)，但該計劃已經(jīng)經(jīng)歷三次推遲，目前定于2018年3月前完成。

以上內(nèi)容來自維基百科

證書申請

官網(wǎng)有整個教程，點擊跳轉(zhuǎn)。首先選擇證書環(huán)境，不同選擇的區(qū)別僅僅是證書編碼和格式，一般可以互轉(zhuǎn)，我們以Centos7上配置Nginx為例。

image.png

安裝

Certbot的包裝在EPEL（Enterprise Linux的額外軟件包）中。要使用Certbot，必須首先啟用EPEL存儲庫。在RHEL或Oracle Linux上，還必須啟用可選通道。

如果在EC2上使用RHEL，則可以運行以下命令來啟用可選通道：

$ yum -y install yum-utils
$ yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

如果做完了這些，可以通過以下命令安裝：

$ sudo yum install python2-certbot-nginx

Certbot的DNS插件也可用于你的系統(tǒng)，該插件可用于從Let's Encrypt的ACMEv2服務(wù)器中自動獲取通配符證書。要使用這些插件，必須為想要獲得Certbot插件提供的DNS提供商的證書的域配置DNS。這些插件的列表和更多關(guān)于使用它們的信息可以點擊這里找到。要安裝其中一個插件，請運行上面的安裝命令，但是要將python2-certbot-nginx替換為要安裝的DNS插件的名稱。

開始申請

Certbot有一個Nginx插件，它在許多平臺上都受支持，并且安裝了證書。

運行這個命令可以自動生成證書和Nginx的證書配置文件：

$ sudo certbot --nginx

如果希望手動配置Nginx，只需要生成證書，使用如下命令：

$ sudo certbot --nginx certonly

如果想使用Let's Encrypt的新ACMEv2服務(wù)器獲得通配符證書，則還需要使用Certbot的一個DNS插件。為此，請確保使用上述說明安裝了DNS提供商的插件，然后運行如下所示的命令：

$ sudo certbot -a dns-plugin -i nginx -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory

需要用你想使用的DNS插件的名稱替換dns-plugin。可能還需要提供其他標(biāo)簽，例如上面鏈接的DNS插件文檔中所述的API憑據(jù)路徑。配上一個我申請的命令：

$ certbot certonly  -d "*.yangqiang.im" --manual --preferred-challenges dns-01  --server https://acme-v02.api.letsencrypt.org/directory

命令執(zhí)行過程中會出現(xiàn)以下內(nèi)容，其中部分需要填寫郵箱等信息：

Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): yangqiang@yangqiang.im

-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A

-------------------------------------------------------------------------------
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about EFF and
our work to encrypt the web, protect its users and defend digital rights.
-------------------------------------------------------------------------------
(Y)es/(N)o: Y
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for yangqiang.im

-------------------------------------------------------------------------------
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
-------------------------------------------------------------------------------
(Y)es/(N)o: Y

在過程中注意以下信息，這些信息需要你按照下面的信息配置TXT的域名解析，證明這個域名是你有權(quán)限操作的：

Please deploy a DNS TXT record under the name
_acme-challenge.yangqiang.im with the following value:

eHihXZhJUid9mLFTdU17sk223Klksdkl223k23

Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------
Press Enter to Continue

如果成功，用_acme-challenge.yangqiang.im訪問，應(yīng)該顯示:eHihXZhJUid9mLFTdU17sk223Klksdkl223k23

點擊回車就會開始驗證，如果證書申請成功回顯示如下信息：

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/yangqiang.im/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/yangqiang.im/privkey.pem
   Your cert will expire on 2018-08-30. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

現(xiàn)在在目錄中應(yīng)該有證書文件了：

[root@hp certbot]# ls /etc/letsencrypt/live/yangqiang.im/
cert.pem  chain.pem  fullchain.pem  privkey.pem  README

自動續(xù)期

因為證書的有效期只有90天，所以我們需要通過以下方式來續(xù)期。

可以通過以下命令來測試自動續(xù)期功能是否正常:

$ sudo certbot renew --dry-run

如果正常，我們可以通過系統(tǒng)的cron任務(wù)來定時執(zhí)行續(xù)期命令:

$ certbot renew

注意：
如果使用cron任務(wù)等定時執(zhí)行的方式，推薦每天執(zhí)行兩次（除非你的證書需要續(xù)約或撤銷，否則它不會執(zhí)行任何操作，但是如果由于某種原因發(fā)生了加密發(fā)起的撤銷，則定期運行它會讓你的網(wǎng)站有機(jī)會一直保持在線狀態(tài)）。請在一小時內(nèi)為你的續(xù)訂任務(wù)選擇一個隨機(jī)分鐘。

一個cron任務(wù)的例子可能是這樣的，它會在每天的23:00和早上7:00運行：

0 23,7 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew

entos7中先使用crontab -e命令，這時候會打開一個vi編輯器。然后把cron任務(wù)命令保存進(jìn)去，用wd保存退出。
推薦一個cron命令在線測試的工具：Cron表達(dá)式在線測試工具

更簡單的方式

已經(jīng)有人幫我們做了很多工作，感謝！我們可以通過一個腳本來更簡單的生成和續(xù)期。

acme.sh

點擊跳轉(zhuǎn)到Github項目地址

安裝

curl https://get.acme.sh | sh
或者
wget -O -  https://get.acme.sh | sh

創(chuàng)建證書

acme提供了很多種方式，我們以最簡單的方式dns api的方式，官方教程連接。這里使用阿里云的域名為例。

• 阿里云創(chuàng)建RAM賬號，賬號具有域名管理權(quán)限。

• 配置環(huán)境變量(賬號信息是RAM的賬號信息）：

  export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
  export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
  

• 創(chuàng)建

  acme.sh --issue --dns dns_ali -d example.com -d *.example.com
  

創(chuàng)建的過程種，acme會拿著賬號信息去域名管理那里創(chuàng)建dns訪問，會等待120秒，120秒過后會去驗證是否配置成功，配置部分可以手動，只是比較麻煩，如果不想把賬號信息給到acme就通過其他方式去創(chuàng)建就好了，驗證成功后就會創(chuàng)建出來證書了，創(chuàng)建好的證書會給出目錄，默認(rèn)在~/.acme.sh/example.com/目錄下。

注意：如果只是使用example.com.cer證書，部分情況下ios可以訪問，Android不能訪問，Android的證書必須帶上中間證書，也就是證書內(nèi)容是：fullchain.cer。

續(xù)期

所有的證書都是60天后自動續(xù)期，不需要手動續(xù)期，acme會自動處理。也可以強(qiáng)制續(xù)期：

acme.sh --renew -d example.com --force

停止自動續(xù)期

acme.sh --remove -d example.com [--ecc]

證書文件不會從磁盤刪除，可以手動刪除：~/.acme.sh/example.com。從這里可以看出來，如果要自動續(xù)期，證書文件應(yīng)該在這個默認(rèn)目錄才行，指定了目錄的話應(yīng)該在指定目錄。

acme.sh更新

• 更新

  acme.sh --upgrade
  

• 配置自動更新

  acme.sh --upgrade --auto-upgrade
  

• 關(guān)閉自動更新

  acme.sh --upgrade --auto-upgrade 0
  

證書相關(guān)工具

收集整理了一些證書工具。

• 證書過期郵件提醒
  

  image.png

• 證書查看工具
  

  image.png

查看更多 > > >

不登高山，不知天之高也；不臨深溪，不知地之厚也
感謝指點、交流、喜歡