centos 7
1、安装certbot
$ sudo yum install certbot
2、准备好域名,进到域名解析管理界面
命令行:
$ sudo certbot certonly -d cz001.com.cn -d *.cz001.com.cn \
--manual --preferred-challenges dns \
--server https://acme-v02.api.letsencrypt.org/directory \
--agree-tos
命令说明:
certonly 表示仅申请证书
-d 需要申请证书的域名,可多个,可通配符
--manual 手工交互式获取
--preferred-challenges 指定验证域名所有权的方法,这里用的是dns解析。通过增加指定的TXT解析项来验证对域名的所有权。
--server 指定分发证书的服务器,默认是v01的服务器,分发通配符证书需要v02的服务器。
--agree-tos 默认同意terms of services
根据提示,设置DNS的相关解析记录,完成证书申请。
证书将保存在:/etc/letsencrypt/live/cz001.com.cn/ 下面。 主要是 fullchain.pem和privkey.pem
要让证书能够被haproxy来使用,需要将fullchain和privkey合并:
$ cat /etc/letsencrypt/live/cz001.com.cn/fullchain.pem \
/etc/letsencrypt/live/cz001.com.cn/privkey.pem > \
/etc/haproxy/certs/cz001.com.cn.pem
这样 /etc/haproxy/certs/cz001.com.cn.pem 就可以给haproxy用啦。