Let’s Encrypt泛域名+多域名证书申请

一、Let's Encrypt

Let's Encrypt SSL证书是一个免费的公益项目，由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起，主要的目是为了推进网站从HTTP向HTTPS过度的进程，目前已经有越来越多的商家加入和赞助支持。

使用Let's Encrypt生成域名证书的前置条件：

1. 拥有域名，能自主配置DNS记录。或者提供web服务器验证，需要在网站目录下放一个文件，推荐第一种方式。
2. 获取证书的环境要能访问到DNS服务器，因为中途需要校验DNS解析。
3. 拥有主机的超级权限，中途需要更新和安装组件。

二、申请流程

第一步：拉代码，代码开源于Github。

完成后执行命令生成证书：

解释一下各个参数的含义：

• certonly: 表示当前为安装模式
• --manual: 表示手动安装插件，不要自动安装了
• --preferred-challenges dns: 校验方式为dns验证
• -d *.maqian.art: 要生成的域名列表，可以为多个，如果是多个分别以-d加上即可
• --server: Let's Encrypt ACME v2版本使用的服务器

接下来的步骤一直接受即可，直到出现添加DNS记录为止：

此时需要在DNS服务商处添加dns解析，记录类型为TXT，记录为_acme-challenge，值为zw1MeEkmGZOqSqiySp9Ke8S5a9BXC3O4tYzlbjwU-CU。当DNS记录设置好后，新开一个终端查询解析是否生效：

当查询到的记录和给定的都一致之后按下任意键执行下一步，如果DNS验证成功就会出现以下信息：

此时就表示证书已经申请完成了，存放的路径为：/etc/letsencrypt/live/maqian.art-0001。

三、安装到nginx

上面一共生成了四个文件，各自的用途为：

• cert.pem: Apache服务器端证书
• chain.pem: Apache根证书和中继证书
• fullchain.pem: Nginx所需要ssl_certificate文件
• privkey.pem: 安全证书KEY文件

部署到nginx只需要添加一下指令即可：

打开网站，点开左上角地址栏的https，查看证书：