一、介绍
官网上提供了很多安装方式,还有一键安装脚本,不过老规矩,需要装一堆东西的一律不考虑。
在 docker hub
上找到了官方的镜像 certbot/certbot
,直接把这个镜像当做命令行工具来使用就行了,完美。
在申请证书之前需要验证域名的所有权,目前有三种验证方式:
- dns-01:给相应的域名添加一个 DNS TXT 的解析。
- http-01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件
- tls-sni-01: 在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件
对于 http-01
方式来说,其实就是首先 certbot
先向 let's Encrypt
发送一个申请的请求,然后 let's Encrypt
返回来一个 token
,然后需要在域名解析到的机器上的 80
端口上搞个 http 服务,能够响应一个请求并返回这个 token
。
这种方式还得搞个服务器,占用 80
端口,太麻烦了,不想采用。
而且泛域名证书的话,只支持 dns-01
的方式,所以就采用 dns-01
的方式啦。
二、申请
- https://acme-v02.api.letsencrypt.org/directory
- https://acme-staging-v02.api.letsencrypt.org/directory
let's Encryp t
有两个申请的服务地址,其中第二个是用来测试用的,如果你是第一次使用,建议先用第二个地址测试测试的学习一下,否则第一个地址调多了(每 7 天最多 5 次),就要被封一段时间了。
调用命令(使用的是测试用的服务地址):
// 带注释便于学习
docker run -it --rm \ // -t 为容器分配一个伪 TTY 终端,-i 让容器的标准输入 STDIN 保持打开
-v $PWD/letsencrypt:/etc/letsencrypt \ // 最终生成的证书文件存在容器的 /etc/letsencrypt 目录下,这里将容器内的 /etc/letsencrypt 目录映射到了宿主机的当前目录下的 letsencrypt 目录
certbot/certbot \ // 使用的镜像名称
certonly \ // 获取或更新证书,但不安装
--manual \ // 使用交互式或脚本钩子的方式获取证书
--preferred-challenges dns \
-d '*.xuxusheng.com' \ // 域名,可以输入多个,用逗号分隔或写多个 -d 参数
--agree-tos \ // 同意ACME服务器的订阅协议
--email 20691718@qq.com \ // 你自己的邮箱地址
--server https://acme-staging-v02.api.letsencrypt.org/directory // 测试用的服务地址,如果是申请正式的证书的话,替换成正式的地址即可。
// 不带注释便于 C+V 大法
docker run -it --rm \
-v $PWD/letsencrypt:/etc/letsencrypt \
certbot/certbot \
certonly \
--manual \
--preferred-challenges dns \
-d '*.xuxusheng.com' \
--agree-tos \
--email 20691718@qq.com \
--server https://acme-staging-v02.api.letsencrypt.org/directory
上面域名、邮箱都是写的我的,服务地址使用的测试的,替换成自己想要的就行。
然后标准输出中会打印出来需要设置的 TXT
类型的域名解析的值,如下:
然后根据上面的输出,设置域名解析:
域名解析设置完成之后,先在命令行工具中检验检验,确保已经生效了:
生效之后,在之前调用 docker
命令的窗口回车即可继续,等待几秒钟后,会发现出现证书生成成功的提示:
然后在当前目录下的 ./letsencrypt/live/你自己的域名
目录下,就可以找到相应的证书文件啦。
三、写在最后
按说二级泛域名证书,应该也可以给一级域名用才对吧,为啥会报错呢,等再学习学习看看。
又瞅了瞅,需要同时指定 -d xuxusheng.com 和 -d *.xuxusheng.com,然后提示添加 dns 记录的时候,会有两条需要加到 _acme-challenge.xuxusheng.com 上的 txt 记录,这里一定要记住,添加第二条的时候,不要直接修改第一条,而是新增一条!!!
又看了看,好像还是 acme.sh 好用点???