野卡证书很贵,去年是买的digital cert的,好几十刀,已经算便宜的了。
网上也流传alphassl的证书,只要30块钱,不过这个是利用了人家的漏洞,它的正常价格是100多刀。自己玩玩可以,掉证书就掉,不过生产环境的话三思。虽然没有掉的历史,但谁知道呢。。
免费+稳定,这就必然只能R3了。
一、安装certbot。(当然,用acme也可以,只是certbot简单点)
apt install certbot
二、运行:
certbot certonly --manual --agree-tos -d "*.你的域名" -d 你的域名 --email 你的email --preferred-challenges dns --manual-public-ip-logging-ok --server https://acme-v02.api.letsencrypt.org/directory
域名需要同时申请 *.domain.com 和 domain.com ,因为*不包含空。
三、运行时会提示你二次(因为上面输了两个域名):
Please deploy a DNS TXT record under the name:

_acme-challenge.你的域名.

with the following value:

s_vnp6r1TFPaCrO32hFUqCErUeGxEQ9KNbRwyQkNSW4

Press Enter to Continue

在你的dns管理器里面加入dns的txt记录即可。
在上面的例子中,就是加入 名称 _acme-challenge, 类型 TXT,值 s_vnp6r1TFPaCrO32hFUqCErUeGxEQ9KNbRwyQkNSW4
在没加好之前,一定不要敲回车,最好加好了再休息几分钟回车,如果不急的话。因为不排除有些dns不是立即刷新生效的。(dnspod和cloudflare都是立即生效)
一共重复两次。
四、不出意外,下面就是成功的提示:
Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/你的域名/fullchain.pem
Key is saved at: /etc/letsencrypt/live/你的域名/privkey.pem
把对应的证书设置到nginx或者cdn就可以了。
五、更新需要重新运行上面的过程,certbot renew不能象单域名那样扔crontab使用,因为需要dns认证,不能自动完成。acme可能可以,不过三个月一次,多大件事呢。 这个是wildcard证书,单域名证书当然不需要这么复杂。

标签: none

已有 3 条评论

  1. 这个不错,我要转载

  2. 这个不是谷歌证书哎。谷歌证书咋申请?那个ocsp比较牛逼,,你这个博客是ocsp证书是谷歌的,

    1. 我这个博客是用的cf呢,cf自动申请的google的证书。
      我google了下,google的也可以自己申请的:
      https://lxnchan.cn/gts-freessl.html
      你可以试试

添加新评论