由於現在網絡安全形勢的影響,大多數網站都啓用了https。本文介紹一種申請永久免費的通配符證書的方法,可以適配一個域名下的所有站點(例如:www.abc.com和子域名ss.abc.com都可以用一個證書啓用https)。
我所使用的申請證書的環境是Centos7,因爲這個是官方提供的是一個python的程序,有一些依賴的庫,要pip下載,因爲有些鏈接容易超時,還是建議把pip的源改到中國來。
申請方式
首先,下載程序,在shell下面執行:
wget https://dl.eff.org/certbot-auto
接着進行證書申請(我們這裏假設申請*.abc.com這個域名的證書)
./certbot-auto certonly -d *.abc.com --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory
可能會安裝一些依賴的庫,出現一些選項都選擇yes,然後會配置一條DNS的TXT記錄,驗證域名的所有權,過後就會成功申請證書。
證書會生成在這個目錄下/etc/letsencrypt/archive/,總共有4個文件,如下:
cert1.pem 公鑰
chain1.pem 證書
fullchain1.pem 公鑰加證書
privkey1.pem 私鑰
其他
如果windows要使用的話,需要把私鑰轉化成後綴爲pfx格式的,命令如下(生成的pfx爲test.pfx):
openssl pkcs12 -export -out test.pfx -inkey privkey1.pem -in cert1.pem
如果是tomcat要使用的話,需要將剛剛的pfx再進行轉化,命令如下(生成server.jks):
keytool -importkeystore -srckeystore test.pfx -destkeystore server.jks -srcstoretype PKCS12 -deststoretype JKS
ps:注意這裏申請的證書有效期是3個月,到期後需要再進行上述操作。