智传网优云课堂,专注分享IT技术
与IT技术爱好者一起共同学习进步

免费apache ssl通配符证书申请

1. 前言

本文主要讲解如何申请和使用免费的Certbot SSL证书,包括单域名、通配符域名。

免费申请 ssl证书

2. 安装Certbot组件

Certbot组件包含在EPEL (Extra Packages for Enterprise Linux)仓库源里。必须先安装EPEL和启用EPEL源仓库。

[root@zcwyou~]# yum -y install epel-release.noarch

安装certbot组件

[root@zcwyou ~]# yum install certbot python2-certbot-apache

3. 设置DNS A记录

在DNS 提供商面板上,设置DNS A记录, 即把域名和Apache服务器的公网IP映射起来。

4. 设置certbot

certbot有一个Apache插件,它支持很多平台,可以自动认证并安装配置。

[root@zcwyou ~]# certbot --apache

运行这个命令获取证书以及自动设置好Apache配置

如果你想手动设置证书,可以只申请下载证书。

[root@zcwyou ~]# certbot --apache certonly

然后自己修改Apache虚拟主机的配置,加入证书字段和文件所在的路径。

5. 申请免费ssl通配符证书(可选)

如果你想使用Let’s Encrypt’s new ACMEv2 server申请通配符证书,你需要使用Certbot’s DNS plugins插件。要实现这一功能,确保你已经安装了相关的插件,除了按以上指引进行安装,还需要执行以下命令:

[root@zcwyou ~]# certbot -a dns-plugin -i apache -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory

根据你自己的选择,替换dns-plugin的名字,你可能需要提供额外的标记,如你API凭证的地址。

Certbot’s DNS plugins使用指南
申请免费ssl通配符证书

申请免费ssl通配符证书

6. 更新免费的SSL证书

免费的SSL证书只有90天有效期,因此你需要在过期前更新你的SSL证书,执行以下命令测试更新证书的可行性

[root@zcwyou ~]# certbot renew --dry-run

如果没有发现错误,继续执行以下命令用于更新SSL证书

[root@zcwyou ~]# certbot renew

7. 自动定期更新SSL证书

强烈建议你使用cron 或者 systemd job定期自动执行更新动作,推荐每天执行2次。每天执行更新并不一定会更新证书。当证书还有效时,并不会更新证书。当证书离过期时间很接近时,执行更新才会真正更新SSL证书。

建议使用cron job,在每天中午和子夜更新SSL证书,计划任务设置如下:

0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew 

自动定期更新SSL证书

更多的使用帮忙请参考完整的官方文档。https://certbot.eff.org/docs/using.html#renewal

赞(1)
分享到: 更多 (0)

学习QQ群:557371664

关注微信公众号自助视频学习

评论 抢沙发

评论前必须登录!