前言

　　很早就听说有免费的通配符证书了，一直也懒得弄，今天就抽一点时间配置一下，顺便水一篇文章。本文就以博主域名v2ex.cc为例来演示如何申请免费的通配符证书。

　　Let's Encrypt 宣布ACME v2正式支持通配符证书,并将继续清除Web上采用HTTPS的障碍,让每个网站轻松获取管理证书，我们普通用户终于可以拥有免费Wildcard Certificate，俗称野卡。

　　通配型证书（wildcard certificate）是在一个域及其所有子域上应用的数字证书。通配型符号由一个星号和域名前的一段时间构成。安全套接层（SSL）证书常运用通配符来扩展子域的SSL加密。

　　通配符SSL证书可以同时保护一个域名下的2级子域名网站，比如*.example.com，对子域名网站是没有数量限制，用户可以随时添加自己的子域名网站。

什么是 Let’s Encrypt？

　　部署HTTPS网站的时候需要证书，证书由CA机构签发，大部分传统CA机构签发证书是需要收费的，这不利于推动HTTPS协议的使用。

　　Let’s Encrypt 也是一个CA机构，但这个CA机构是免费的。也就是说签发证书不需要任何费用。Let’s Encrypt 由于是非盈利性的组织，需要控制开支，他们搞了一个非常有创意的事情，设计了一个ACME协议。

　　那为什么要创建ACME协议呢，传统的CA机构是人工受理证书申请、证书更新、证书撤销，完全是手动处理的。而ACME协议规范化了证书申请、更新、撤销等流程，只要一个客户端实现了该协议的功能，通过客户端就可以向 Let’s Encrypt 申请证书，也就是说Let’s Encrypt CA完全是自动化操作的。

　　任何人都可以基于ACME协议实现一个客户端，官方推荐的客户端是Certbot 。

什么是通配符证书

在没有出现通配符证书之前，Let’s Encrypt 支持两种证书。

1）单域名证书：证书仅仅包含一个主机。

2）SAN 证书：域名通配符证书类似DNS解析的泛域名概念，通配符证书就是证书中可以包含一个通配符(*.exmaple.com)。主域名签发的通配符证书可以在所有子域名中使用，比如www.example.com、bbs.example.com。

申请通配符证书

　　Let’s Encrypt 上的证书申请是通过ACME协议来完成的。ACME协议规范化了证书申请、更新、撤销等流程，实现了Let’s Encrypt CA自动化操作。解决了传统的CA机构是人工手动处理证书申请、证书更新、证书撤销的效率和成本问题。

　　ACME v2 是ACME 协议的更新版本，通配符证书只能通过ACME v2获得。要使用ACME v2协议申请通配符证书，只需一个支持该协议的客户端就可以了，官方推荐的客户端是Certbot。

　　客户在申请 Let’s Encrypt 证书的时候，需要校验域名的所有权，证明操作者有权利为该域名申请证书，目前支持三种验证方式：

dns01：给域名添加一个DNS TXT记录。
http01：在域名对应的Web服务器下放置一个HTTP well-known URL资源文件。
tls-sni01：在域名对应的Web服务器下放置一个HTTPS well-known URL资源文件。

下面开始申请

获取Certbot客户端

[root@www ~]# wget -c https://dl.eff.org/certbot-auto -P /usr/local/bin/     #下载 Certbot 客户端
[root@www ~]# chmod a+x /usr/local/bin/certbot-auto     #设为可执行权限
[root@www ~]# certbot-auto --version     #安装Certbot
[root@www ~]# certbot 1.6.0     #安装成功后显示的版本号（2020-07-27）

申请证书

[root@www ~]# certbot-auto certonly  -d *.v2ex.cc --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory

• certonly[安装模式]，Certbot有安装模式和验证模式两种类型的插件。
• -d[为哪些域名申请证书]，如果是通配符，输入*.example.com。
• --manual[手动安装]，Certbot有很多插件，不同的插件都可以申请证书，用户可以根据需要自行选择。
• --preferred-challenges dns[DNS验证]，使用DNS方式校验域名所有权。
• --server[指定ACME版本]，Let's Encrypt ACME v2版本使用的服务器不同于v1版本，需要显示指定。

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Enter email address (used for urgent renewal and security notices)
 (Enter 'c' to cancel): manager@v2ex.cc     #用于安全以及续约通知的邮箱

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: a     #是否同意相关协议条款

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: n     #是否订阅相关的邮件
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for v2ex.cc

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y     #询问是否对域名和机器（IP）进行绑定

以上确认后继续，以下提示要求配置 DNS TXT 记录，从而校验域名所有权，也就是判断证书申请者是否有域名的所有权。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.v2ex.cc with the following value:

8A20NkS2XkDtylqNERp46QylZHPS_b8WjjQM8OowvLI

Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue     #这里切记自己验证生效后再回车执行

上面输出要求给 _acme-challenge.v2ex.cc 添加一条值为 8A20NkS2XkDtylqNERp46QylZHPS_b8WjjQM8OowvLI 的 TXT 记录，在没有确认 TXT 记录生效之前不要回车执行。请自行登录域名管理系统添加，此处不再赘述。

查询TXT解析记录

博主建议直接使用nslookup命令

C:\Users\Administrator>nslookup
默认服务器:  UnKnown
Address:  10.0.100.1

> set type=txt
> _acme-challenge.v2ex.cc
服务器:  UnKnown
Address:  10.0.100.1

非权威应答:
_acme-challenge.v2ex.cc text =

        "8A20NkS2XkDtylqNERp46QylZHPS_b8WjjQM8OowvLI"
>

dig命令查询

[root@www ~]# dig txt _acme-challenge.v2ex.cc @8.8.8.8
-bash: dig: command not found     #如果出现这个提示，说明你的系统未安装dig命令
[root@www ~]# yum install bind-utils     #安装dig命令
[root@www ~]# dig txt _acme-challenge.v2ex.cc @8.8.8.8     #输入dig命令查询

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.6 <<>> txt _acme-challenge.v2ex.cc @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34818
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;_acme-challenge.v2ex.cc.       IN      TXT

;; ANSWER SECTION:
_acme-challenge.v2ex.cc. 599    IN      TXT     "8A20NkS2XkDtylqNERp46QylZHPS_b8WjjQM8OowvLI"

;; Query time: 28 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Jul 27 08:47:35 CST 2020
;; MSG SIZE  rcvd: 108

确认生效后，回车执行，输出如下信息

Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/v2ex.cc/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/v2ex.cc/privkey.pem
   Your cert will expire on 2020-10-24. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

此时我们的证书已经申请成功了,证书都保存在如下目录中:

[root@www ~]# tree /etc/letsencrypt/live/v2ex.cc/
/etc/letsencrypt/live/v2ex.cc/
├── cert.pem -> ../../archive/v2ex.cc/cert.pem
├── chain.pem -> ../../archive/v2ex.cc/chain.pem
├── fullchain.pem -> ../../archive/v2ex.cc/fullchain.pem
├── privkey.pem -> ../../archive/v2ex.cc/privkey.pem
└── README

一般nginx配置需要用到就是fullchain.pem和privkey.pem使用vim查看证书内容即可，各位客官自行取用即可。

证书续签相关

查看证书有效期，到期时间

[root@www ~]# cd /usr/local/bin/
[root@www bin]# certbot-auto certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:
  Certificate Name: v2ex.cc
    Serial Number: ****dfe582****228e0a5c****4164c****
    Domains: *.v2ex.cc
    Expiry Date: 2020-10-24 23:16:18+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/v2ex.cc/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/v2ex.cc/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

证书续约

[root@www ~]# cd /usr/local/bin/
[root@www bin]# certbot-auto renew -v     #手动更新

[root@www ~]# cd /usr/local/bin/
[root@www bin]# certbot-auto renew --dry-run     #更新证书

如果不需要返回的信息，可以用静默方式certbot renew --quiet

[root@www ~]# cd /usr/local/bin/
[root@www bin]# certbot-auto renew --quiet --no-self-upgrade     #自动更新

定时更新，也可以直接放入宝塔计划任务中执行

[root@www ~]# crontab -e     #加入定时任务
0 4 1 */2 *  /usr/bin/certbot-auto  renew --quiet     #每两个月的一号凌晨4点更新一次

本文部分内容转载自简书，作者：YichenWong