Linux入门学习到精通1. 前言
本文主要讲解如何申请和使用免费的Certbot SSL证书,包括单域名、通配符域名。
2. 安装Certbot组件
Certbot组件包含在EPEL (Extra Packages for Enterprise Linux)仓库源里。必须先安装EPEL和启用EPEL源仓库。
[root@zcwyou~]# yum -y install epel-release.noarch
安装certbot组件
[root@zcwyou ~]# yum install certbot python2-certbot-apache
3. 设置DNS A记录
在DNS 提供商面板上,设置DNS A记录, 即把域名和Apache服务器的公网IP映射起来。
4. 设置certbot
certbot有一个Apache插件,它支持很多平台,可以自动认证并安装配置。
[root@zcwyou ~]# certbot --apache
运行这个命令获取证书以及自动设置好Apache配置
如果你想手动设置证书,可以只申请下载证书。
[root@zcwyou ~]# certbot --apache certonly
然后自己修改Apache虚拟主机的配置,加入证书字段和文件所在的路径。
5. 申请免费ssl通配符证书(可选)
如果你想使用Let’s Encrypt’s new ACMEv2 server申请通配符证书,你需要使用Certbot’s DNS plugins插件。要实现这一功能,确保你已经安装了相关的插件,除了按以上指引进行安装,还需要执行以下命令:
[root@zcwyou ~]# certbot -a dns-plugin -i apache -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory
根据你自己的选择,替换dns-plugin的名字,你可能需要提供额外的标记,如你API凭证的地址。
Certbot’s DNS plugins使用指南
申请免费ssl通配符证书
6. 更新免费的SSL证书
免费的SSL证书只有90天有效期,因此你需要在过期前更新你的SSL证书,执行以下命令测试更新证书的可行性
[root@zcwyou ~]# certbot renew --dry-run
如果没有发现错误,继续执行以下命令用于更新SSL证书
[root@zcwyou ~]# certbot renew
7. 自动定期更新SSL证书
强烈建议你使用cron 或者 systemd job定期自动执行更新动作,推荐每天执行2次。每天执行更新并不一定会更新证书。当证书还有效时,并不会更新证书。当证书离过期时间很接近时,执行更新才会真正更新SSL证书。
建议使用cron job,在每天中午和子夜更新SSL证书,计划任务设置如下:
0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew
更多的使用帮忙请参考完整的官方文档。https://certbot.eff.org/docs/using.html#renewal
评论前必须登录!
注册