В настоящее время большая часть интернет-трафика шифруется с использованием HTTPS. Это становится все более распространенным, особенно после введения Let's Encrypt, центра сертификации (CA), поддерживаемого крупными компаниями в отрасли. Let's Encrypt предоставляет сертификаты SSL / TLS совершенно бесплатно со сроком действия 90 дней.
Как правило, сертификаты связаны с одним или несколькими конкретными доменными именами, поэтому, если у вас есть сертификат «www.example.com», вы можете использовать его только с этим точным доменным именем. С другой стороны, сертификаты с подстановочными знаками выдаются для имени родительского домена и могут использоваться с любым поддоменом родительского домена. Например, сертификат подстановочного знака для * .example.com можно использовать для «www.example.com», «account.example.com», «mail.example.com» и т. Д. Сертификаты с подстановочными знаками, поэтому они выигрывают от необходимости получать и обновлять один сертификат для всех текущих и будущих поддоменов.
Вот как получить групповой сертификат для зарегистрированного доменного имени из Let's Encrypt в Ubuntu, Debian и других дистрибутивах на основе Debian.
1. Установка acme.sh
Let's Encrypt использует протокол Автоматизированной среды управления сертификатами (ACME), чтобы убедиться, что вы владеете своим доменным именем и выпускаете / продлеваете сертификаты. Acme.sh – это популярный клиент ACME, реализованный в сценарии оболочки. Чтобы установить его, вы должны сначала установить git:
sudo apt update sudo apt install -y git
Загрузите репозиторий с github:
git clone https://github.com/Neilpang/acme.sh.git
Войдите в клонированный каталог и запустите скрипт установки:
cd acme.sh/ ./acme.sh –install
Перезагрузите сессию оболочки, чтобы начать использовать acme.sh:
2. Использование acme.sh для выдачи подстановочных сертификатов.
Для того чтобы Let's Encrypt выпустил подстановочный сертификат, необходимо решить проблему DNS, известную как проверка домена (DV). Acme.sh удобно интегрируется с API многих крупных DNS-провайдеров и полностью автоматизирует этот процесс.
CloudFlare
Если вы используете Cloudflare DNS, войдите в Ваш аккаунт и скопируйте ваш глобальный ключ API. Сохраните его как переменную среды в системе:
export CF_Key = "your_cloudflare_api_key" export CF_Email = "your_cloudflare_email_address"
Теперь вы можете запросить сертификат подстановочного знака:
acme.sh –issue –dns dns_cf -d '* .example.org'
Namecheap
Если вы используете серверы имен NameCheap, сделайте следующее инструкции о том, как включить доступ к APIи затем экспортируйте необходимые переменные:
export NAMECHEAP_SOURCEIP = "your_server_ip" export NAMECHEAP_USERNAME = "your_namecheap_username" export NAMECHEAP_API_KEY = "your_namecheap_api_key"
Запросить подстановочный сертификат:
acme.sh –issue –dns dns_namecheap -d '* .example.org'
DigitalOcean
Если ваш домен использует DNS DigitalOcean, выполните следующие действия. инструкция по созданию персонального токена доступа с разрешениями на чтение и запись. Экспорт API ключа / токена:
export DO_API_KEY = "your_digitalocean_api_token"
Запросить подстановочный сертификат:
acme.sh –issue –dns dns_dgon -d '* .example.org'
Иди папа
Если ваш домен использует GoDaddy DNS, скопируйте его Ваш ключ API и секретный ключ, Экспортируйте их в свою среду:
export GD_Key = "your_godaddy_api_key" export GD_Secret = "your_godaddy_api_secret"
Запросить подстановочный сертификат:
acme.sh –issue –dns dns_gd -d '* .example.org'
Vultr
Если вы используете DNS Vultr, вам понадобится ваш личный токен доступа или суб-профиль с разрешениями «Управление DNS».
export VULTR_API_KEY = "your_vultr_api_key"
Запросить подстановочный сертификат:
acme.sh –issue –dns dns_vultr -d '* .example.org'
Rackspace
Если вы используете RackSpace, вам понадобится ваше имя пользователя и ключ API. Экспортируйте их, как показано ниже:
export RACKSPACE_Username = "your_rackspace_username" export RACKSPACE_Apikey = "your_rackspace_api_key"
Запросить подстановочный сертификат:
acme.sh – выпуск –dns dns_rackspace -d '* .example.org'
Ручной процесс
Если вы не хотите или не можете использовать API, предоставляемый вашим DNS-провайдером, вы можете вручную создать запись DNS для выполнения проверки домена, но вам также придется регулярно повторять этот процесс вручную, чтобы продлить домен.
acme.sh –issue –dns –yes-I-знаю-dns-manual-mode-достаточно-идти-вперед-пожалуйста -d '* .example.org'
Эта команда отобразит токен подтверждения, который вам нужно будет добавить в качестве записи TXT DNS.
Скопируйте токен и войдите в панель управления DNS. Создайте новую запись DNS TXT для субдомена _acme-challenge и вставьте токен.
Подождите несколько минут, пока новая запись станет доступной, а затем запросите сертификат:
acme.sh –renew –yes-I-know-dns-manual-mode-достаточно-продолжай-пожалуйста -d '* .example.org'
Расположение файлов
Сертификат и другие соответствующие файлы можно найти в каталоге «.acme.sh» в вашей домашней папке.
Следуйте инструкциям выше, чтобы получить сертификат домена Wildcard Encrypt.
Эта статья полезна?
Add comment