使用秋の工具箱申请免费的 SSL 证书为网站添加 HTTPS 协议访问
目录
开始
单次证书的颁发不支持自动续期,但是支持通配符证书和多域名证书。
单击 秋の工具箱 - Let's Encrypt 开始申请。
打开页面后通常会看到这样的内容输入区域:
第一步:填写基本信息
首先输入域名,以半角逗号分隔多个域名,通常申请通配符域名,如 zeoseven.com,*.zeoseven.com 来申请可覆盖裸域和所有子域的 SSL 证书。
ACME 账户私钥 可以视作为 Let's Encrypt 账户,当没有私钥时可以直接生成一个,推荐使用 ECC 私钥,当然, RSA 私钥的兼容性更好。生成新的账户私钥之后复制保存它,可以利用它进行快速续期。
证书私钥 代表着 SSL 证书的加密技术,选择创建 RSA 私钥 即申请 RSA 证书,反之 ECC 私钥 则申请 ECC 证书
电子邮箱地址会发送给 Let's Encrypt 作为证书即将过期的通知邮件地址。
当全部填写就绪后,点击 “继续” 来进入域名所有权验证步骤。
第二步:验证域名所有权
点击 “继续 Go!” 后,会出现这样的页面:
这时候,会发现通配符域名是只能使用 DNS 验证的,所以比较推荐使用 DNS 验证,比起文件验证和 TLS-ALPN-01 较方便。
全部选择 DNS 记录验证 (其实默认就是)。
前往添加 A、AAAA、CNAME 等记录的 权威 DNS 服务器 上添加验证 DNS 记录,通常是 TXT 记录,主机记录也被称为记录名称 或 键。
当完成 DNS 记录添加后,推荐等待 30 秒 DNS 传播延迟 时间,因为一旦验证失败,就需要重新添加新的记录值,尤其在需要验证的域名非常多时,重新验证的代价是很大的。
在一切准备就绪并推荐性的等待 30 秒后,点击 “开始验证” 按钮,这时候,程序会自动的进行申请和接收过程,中途可能会遇到黄色的 “等待重试中” 文字,那是正常的,不必担心,程序会自动处理。如果一切正常,则会出现 “结果输出” 页面,在这个页面可以下载或复制颁发的 PEM 和 KEY ,其中 PEM 即证书本身, KEY 就是私钥了,私钥需要注意保密不能泄露。
验证完成后,添加的 TXT 主机记录保留在 DNS 中不要删除,同样可以利用它进行快速续期。
至此,单次的 SSL 证书颁发就完成了。
扩展:快速续期
如果你阅读了整篇,你可能保存了 上次新生成的 ACME 账户私钥 且 没有删除 DNS 中上次验证的 TXT 记录。
那么这时候,在续期和上次完全相同的域名时,选择 输入 ACME 账户私钥,输入保存的 ACME 账户私钥,证书私钥推荐每次都生成新的,更安全。
现在除了 证书私钥,其它的信息应该都和上次完全一致了,那么就点击 “继续” 按钮后你会发现, DNS 记录和上次的完全一致,这时候 没有删除 DNS 中上次验证的 TXT 记录 就派上用场了,可以直接点击 “开始验证” ,立即完成,极速颁发证书。