В настоящее время большая часть веб-трафика шифруется с помощью HTTPS. Он становится все более распространенным, особенно после появления Let’s Encrypt, центра сертификации (CA), поддерживаемого крупными компаниями отрасли. Let’s Encrypt предоставляет сертификаты SSL/TLS совершенно бесплатно со сроком действия 90 дней.
Как правило, сертификаты привязаны к одному или нескольким конкретным доменным именам, поэтому, если у вас есть сертификат для «www.example.com», вы можете использовать его только с этим точным доменным именем. С другой стороны, сертификаты с подстановочными знаками выдаются для имени родительского домена и могут использоваться с любым поддоменом родительского домена. Например, подстановочный сертификат для *.example.com можно использовать для «www.example.com», «account.example.com», «mail.example.com» и т. д. Таким образом, подстановочные сертификаты приносят преимущество. вам нужно будет получить и продлить только один сертификат для всех ваших нынешних и будущих поддоменов.
Вот как получить подстановочный сертификат для зарегистрированного доменного имени от Let’s Encrypt в Ubuntu, Debian и других дистрибутивах на основе Debian.
Читайте также: Как настроить бесплатный SSL-сертификат Let’s Encrypt в Nginx (Ubuntu)
1. Установка acme.sh
Let’s Encrypt использует протокол автоматизированной среды управления сертификатами (ACME) для проверки того, что вы владеете своим доменным именем, а также для выдачи/обновления сертификатов. Acme.sh — популярный клиент ACME, реализованный в сценарии оболочки. Чтобы установить его, вам сначала необходимо установить git:
sudo apt update sudo apt install -y git
Загрузите репозиторий с github:
git clone https://github.com/Neilpang/acme.sh.git
Войдите в клонированный каталог и запустите сценарий установки:
cd acme.sh/ ./acme.sh --install
Перезагрузите сеанс оболочки, чтобы начать использовать acme.sh:
Contents
1. Установка acme.sh
>bash2. Использование acme.sh для выдачи групповых сертификатов.
Чтобы Let’s Encrypt выдал подстановочный сертификат, вам необходимо решить задачу на основе DNS, известную как проверка домена (DV). Acme.sh удобно интегрируется с API многих крупных DNS-провайдеров и полностью автоматизирует этот процесс.
Cloudflare
Если вы используете службу DNS Cloudflare, войдите в свою учетную записьи скопируйте свой глобальный ключ API. Сохраните его как переменную среды в своей системе:
export CF_Key="your_cloudflare_api_key" export CF_Email="your_cloudflare_email_address"
Теперь вы можете запросить групповой сертификат:
acme.sh --issue --dns dns_cf -d '*.example.org'
НазваниеДешево
Если вы используете серверы имен NameCheap, следуйте их инструкции по включению доступа к API , затем экспортируйте необходимые переменные:
export NAMECHEAP_SOURCEIP="your_server_ip" export NAMECHEAP_USERNAME="your_namecheap_username" export NAMECHEAP_API_KEY="you2. Использование acme.sh для выдачи групповых сертификатов.
сертификат:acme.sh --issue --dns dns_namecheap -d '*.example.org'Цифровой океан
Если ваш домен использует DNS DigitalOcean, следуйте их инструкции по созданию токена личного до
Cloudflare
ниями на чтение и запись. Экспортируйте ключ/токен API:export DO_API_KEY="your_digitalocean_api_token"Запросить групповой сертификат:
acme.sh --issue --dns dns_dgon -d '*.example.org'GoDaddy
Если ваш домен использует DNS GoDaddy, скопируйте ваш ключ API и секрет . Экспортируйте их в свою среду:
export GD_Key="your_godaddy_api_key" exportНазваниеДешевоan>"your_godaddy_api_secret" Запросить групповой сертификат:
acme.sh --issue --dns dns_gd -d '*.example.org'Вультр
Если вы используете DNS Vultr, вам понадобится ваш личный токен доступаили подпрофиль с привилегиями «Управление DNS».
export VULTR_API_KEY="your_vultr_api_key"Запросить групповой сертификат:
acme.sh --issue --dns dns_vultr -d '*.example.org'Ракспейс
Если вы используете RackSpace, вам понадобится имя пользователя и ключ API. Экспортируйте их, как показано ниже:
export RACKSPACE_Username="your_racЦифровой океан
export RACKSPACE_Apikey="your_rackspace_api_key"Запросить групповой сертификат:
acme.sh--issue --dns dns_rackspace -d '*.example.org'Ручной процесс
Если вы не хотите или не можете использовать API, предоставленный вашим поставщиком DNS, вы можете вручную создать запись DNS для выполнения проверки домена, хотя вам также придется регулярно повторять этот ручной процесс, чтобы продлить срок действия вашего домена..
acme.sh --issue --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please -d '*.example.org'Эта команда отобразит токен подтверждения, который вам нужно будет добавить в к
GoDaddy
NS TXT.Скопируйте токен и войдите в панель управления DNS. Создайте новую запись DNS типа TXT для субдомена
_acme-challenge
и вставьте токен.Подождите несколько минут, пока новая запись станет доступной, затем запросите сертификат:
acme.sh --renew --Вультр
manual-mode-enough-go-ahead-please -d '*.example.org'Расположение файлов
Вы найдете свой сертификат и другие соответствующие файлы в каталоге «.acme.sh» в вашей домашней папке.
- Сам сертификат сохраняется как «~/.acme.sh/*.example.org/*.example.org.cer».
- Ключ сертификата сохраняется как «~/.acme.sh/*.example.org/*.example.org.key». Этот файл должен храниться в тайне и никогда не передаваться другим.
- Файл сертификата полной цепочки, который вы, скорее всего, будете использовать, сохраняется как «~/.acme.sh/*.example.org/fullchain.cer». Это
Ракспейс
ваш сертификат с сертификатом выдавшего органа (так называемый промежуточный сертификат).Выполните описанные выше действия, и вы сможете получить сертификат домена Let’s Encrypt с подстановочными знаками.
Ручной процесс
Расположение файлов