Let's Encrypt通配符证书申请办法,实测有效

在【Let's Encrypt正式支持通配符(泛解析)证书的辟谣】一文里明月已经强调了目前网上很多所谓的申请Let's Encrypt通配符证书教程里存在的不严谨,下面明月就给大家说一下如何正常申请到支持通配符的Let's Encrypt证书。

Let's Encrypt.jpg

本文将以 acme.sh 脚本为例,因为 acme.sh 已经内测支持 Let's Encrypt 通配符证书的申请,但需要更新你当前使用的 acme.sh 脚本到最新版本,具体命令如下:

acme.sh --upgrade

下载更新完成后,就可以申请Let's Encrypt通配符证书了,如果以前已经有Let's Encrypt证书了,只是需要申请替换原有证书,记得加上 --force 参数即可,具体命令如下:

acme.sh --issue --dns dns_cx  -d mydomain.com -d *.mydomain.com  --force

acme.sh --installcert -d mydomain.com -d *.mydomain.com \
--key-file /home/wwwroot/www.mydomain.com/ssl/mydomain.com.key \
--fullchain-file /home/wwwroot/www.mydomain.com/ssl/mydomain.com.cer \
--reloadcmd "service nginx reload"

当然,如果你想重新完整申请Let's Encrypt通配符证书也是可以的,就是需要删除原有的证书,首先先列出当前通过 acme.sh 脚本管理的证书:

acme.sh --list

然后根据列出的当前证书的Main_Domain来删除对应的证书,如下命令:

acme.sh remove Main_Domain

如果是ECC证书可以加上-ecc参数来删除:

acme.sh remove Main_Domain -ecc

这样以后就可以参考上面的申请办法(去掉参数--force即可),比如:

acme.sh --issue --dns dns_cx -d mydomain.com -d *.mydomain.com

需要注意的是,目前Let's Encrypt通配符证书的申请,只能使用DNS验证模式才可以,未来官方在正式支持以后可能会更多的方式来支持的,所以记得要提前导入好DNS的API哦!

同理,ECC加密的证书申请通配符可以用下面的命令:

acme.sh --issue --dns dns_cx  -d imydl.tech -d *.imydl.tech -k ec-256 --force

acme.sh --installcert -d imydl.tech -d www.imydl.tech --ecc \
--key-file /home/wwwroot/www.imydl.tech/ssl/imydl.tech.ecdsa.key \
--fullchain-file /home/wwwroot/www.imydl.tech/ssl/imydl.tech.ecdsa.cer \
--reloadcmd "service nginx reload"

其他同上参考即可。

至此你已经申请到支持通配符的Let's Encrypt证书了,通过acme.sh --listSAN_Domains一栏里就可以看到*.mydomain.com就说明已经成功了。

最后再次鄙视一下那些一点儿都不严谨的博文,需要说明白的都是模棱两可一笔带过,对很多小白来说真的是“害人不浅”,强烈鄙视一下!

最后修改:2018 年 03 月 17 日 08 : 14 PM
如果觉得我的文章对你有用,请随意赞赏

发表评论

8 条评论

  1. 橘子书

    一直佩服明月兄的折腾精神!

    1. 明月登楼
      @橘子书

      哈哈,这个没办法,一旦折腾起来就停不下来了!

  2. 薅羊毛

    你发的这个我也看不懂
    lnmp输入 -bash: acme.sh: command not found 没有升级提示

    1. 明月登楼
      @薅羊毛

      这个可能是你没有安装acme.sh

      1. 薅羊毛
        @明月登楼

        lnmp不是默认有么

        1. 明月登楼
          @薅羊毛

          默认的,我今天试用了感觉是各种不适应!

            1. 明月登楼
              @薅羊毛

              我看过了!我感觉今天阿里云ECS下acme.sh访问都很难!