在2018年3月,我们加密添加了对通配符证书的支持。通配符证书使您可以使用单个证书来保护域的所有第一级子域。通配符证书只能通过ACMEv2获得,它是ACME协议的更新版本。要将ACMEv2用于通配符或非通配符证书,您需要一个已更新以支持ACMEv2的客户端。一个这样的客户端是acme.sh,它是一个ACME / ACMEv2协议客户端,完全用Shell(Unix外壳)语言编写,没有任何依赖关系。此外,必须使用DNS-01质询类型来验证通配符域。这意味着您需要修改DNS TXT记录以证明对域的控制权以获得通配符证书。
在本指南中,我们将说明如何使用acme.sh
客户端,Lexicon工具通过使用Vultr API自动处理DNS记录的Lexicon工具,从Ubuntu 19.04上的Let’s Encrypt获取和部署免费通配符证书,以及如何将证书部署到Nginx Web服务器。
要求
- 新部署的Ubuntu 19.04 Vultr云服务器。
- 您有一个注册域名。本指南以
example.com
域为例。 - 确保已为完全限定域名(FQDN)设置了A / AAAA和CNAME DNS记录。如果您需要熟悉DNS概念,则不妨参考Vultr DNS入门指南。
- 在Vultr帐户控制面板中启用了Vultr API访问。
在你开始之前
检查Ubuntu版本。
lsb_release -ds
# Ubuntu 19.04
创建一个具有sudo
访问权限和首选用户名的新用户帐户,然后切换到该帐户。我们使用johndoe
。
adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe
注意:用您的用户名替换johndoe
。
设置时区。
sudo dpkg-reconfigure tzdata
确保您的Ubuntu系统是最新的。
sudo apt update && sudo apt upgrade -y
安装必要的软件包。
sudo apt install -y git wget curl socat
安装Nginx
安装Nginx Web服务器。
sudo apt install -y nginx
检查版本。
sudo nginx -v
# nginx version: nginx/1.15.9 (Ubuntu)
安装Python和Lexicon
在使用acme.sh和Vultr API从Let’s Encrypt获取通配符证书的过程中,第一步是需要安装Python和Lexicon。Lexicon是一个Python软件包,它提供了一种以标准化方式处理多个DNS提供程序上的DNS记录的方法。
如果尚未在系统上安装Python,请安装。
sudo apt install -y python3
通过验证版本来确认安装。
python3 --version
# Python 3.7.3
安装Lexicon工具。词典是一个Python工具,可让您以标准化方式在各种DNS提供程序上处理DNS记录。
sudo apt install -y lexicon
检查词典版本。
lexicon --version
# lexicon 3.0.8
安装acme.sh
客户端
Acme.sh
是纯粹用Shell(Unix Shell)语言编写的ACME协议客户端,可自动通过Let’s Encrypt获得签名证书的过程。它支持ACME v1和ACME v2,最重要的是,它支持ACME v2通配符证书。在本节中,我们将安装Acme.sh脚本。
注意: 建议使用root
用户来安装acme.sh
,尽管它不需要root
/ sudo
访问。
root
如果已创建,请从常规用户切换到用户。
sudo su - root
下载并安装acme.sh
。
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh
./acme.sh --install --accountemail "your_email@example.com"
source ~/.bashrc
cd
检查版本。
acme.sh --version
# v2.8.2
从“ Let’s Encrypt ”获取通配符证书
要获得通配符证书,我们只能使用DNS验证方法。我们使用Lexicon和Vultr DNS API来操纵TXT DNS记录。
获取您的域的RSA和ECC通配符证书。
# Configure your API key and username
export PROVIDER=vultr
export LEXICON_VULTR_USERNAME="your_vultr_email@example.com"
export LEXICON_VULTR_TOKEN="XXXXXXXXXXXXXXX"
# RSA 2048
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength 2048
# ECC 256
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength ec-256
注意:不要忘记example.com
用您的域名替换,并用您自己的Vultr API占位符值替换。
运行上述命令后,您的证书和密钥位于:
- 对于RSA:
~/.acme.sh/example.com
目录。 - 对于ECC / ECDSA:
~/.acme.sh/example.com_ecc
目录。
注意:请勿使用文件~/.acme.sh/
夹中的证书文件,这些文件仅供内部使用,将来目录结构可能会更改。
要列出您的证书,可以运行:
acme.sh --list
创建一个文件夹以在生产中存储您的证书。我们使用/etc/letsencrypt
目录。
sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc
在服务器上安装/复制用于生产的证书。
# RSA
acme.sh --install-cert -d example.com \
--cert-file /etc/letsencrypt/example.com/cert.pem \
--key-file /etc/letsencrypt/example.com/private.key \
--fullchain-file /etc/letsencrypt/example.com/fullchain.pem \
--reloadcmd "sudo systemctl reload nginx.service"
# ECC/ECDSA
acme.sh --install-cert -d example.com --ecc \
--cert-file /etc/letsencrypt/example.com_ecc/cert.pem \
--key-file /etc/letsencrypt/example.com_ecc/private.key \
--fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem \
--reloadcmd "sudo systemctl reload nginx.service"
现在我们已经从Let’s Encrypt成功获取了通配符证书,我们需要配置Nginx Web服务器。所有证书每60天自动更新一次。
获取证书并将其安装到您的首选位置后,您可以从root
用户注销为普通sudo
用户,并sudo
根据需要使用继续管理服务器。
exit
配置Nginx Web服务器
运行sudo vim /etc/nginx/sites-available/example.com.conf
并使用以下内容填充文件。example.com
用您自己的域名替换所有出现的域名。
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name example.com *.example.com;
root /var/www/example.com;
# RSA
ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/example.com/private.key;
# ECDSA
ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;
}
example.com.conf
通过将文件链接到sites-enabled
目录来激活新配置。
sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/
测试Nginx配置。
sudo nginx -t
重新加载Nginx。
sudo systemctl reload nginx.service
而已。我们使用acme.sh,Lexicon和Vultr API将通配符证书部署到Nginx。当您要保护动态生成的多个第一级子域时,通配符证书会很有用。