Как получить бесплатные SSL-сертификаты Wildcard от Let's Encrypt

В настоящее время большая часть интернет-трафика шифруется с использованием HTTPS. Это становится все более распространенным, особенно после введения Let's Encrypt, центра сертификации (CA), поддерживаемого крупными компаниями в отрасли. Let's Encrypt предоставляет сертификаты SSL / TLS совершенно бесплатно со сроком действия 90 дней.

Как правило, сертификаты связаны с одним или несколькими конкретными доменными именами, поэтому, если у вас есть сертификат «www.example.com», вы можете использовать его только с этим точным доменным именем. С другой стороны, сертификаты с подстановочными знаками выдаются для имени родительского домена и могут использоваться с любым поддоменом родительского домена. Например, сертификат подстановочного знака для * .example.com можно использовать для «www.example.com», «account.example.com», «mail.example.com» и т. Д. Сертификаты с подстановочными знаками, поэтому они выигрывают от необходимости получать и обновлять один сертификат для всех текущих и будущих поддоменов.

Вот как получить групповой сертификат для зарегистрированного доменного имени из Let's Encrypt в Ubuntu, Debian и других дистрибутивах на основе Debian.

1. Установка acme.sh

Let's Encrypt использует протокол Автоматизированной среды управления сертификатами (ACME), чтобы убедиться, что вы владеете своим доменным именем и выпускаете / продлеваете сертификаты. Acme.sh – это популярный клиент ACME, реализованный в сценарии оболочки. Чтобы установить его, вы должны сначала установить git:

sudo apt update sudo apt install -y git

Загрузите репозиторий с github:

git clone https://github.com/Neilpang/acme.sh.git

Войдите в клонированный каталог и запустите скрипт установки:

cd acme.sh/ ./acme.sh –install

Перезагрузите сессию оболочки, чтобы начать использовать acme.sh:

2. Использование acme.sh для выдачи подстановочных сертификатов.

Для того чтобы Let's Encrypt выпустил подстановочный сертификат, необходимо решить проблему DNS, известную как проверка домена (DV). Acme.sh удобно интегрируется с API многих крупных DNS-провайдеров и полностью автоматизирует этот процесс.

CloudFlare

Если вы используете Cloudflare DNS, войдите в Ваш аккаунт и скопируйте ваш глобальный ключ API. Сохраните его как переменную среды в системе:

export CF_Key = "your_cloudflare_api_key" export CF_Email = "your_cloudflare_email_address"

Теперь вы можете запросить сертификат подстановочного знака:

acme.sh –issue –dns dns_cf -d '* .example.org'

Namecheap

Если вы используете серверы имен NameCheap, сделайте следующее инструкции о том, как включить доступ к APIи затем экспортируйте необходимые переменные:

export NAMECHEAP_SOURCEIP = "your_server_ip" export NAMECHEAP_USERNAME = "your_namecheap_username" export NAMECHEAP_API_KEY = "your_namecheap_api_key"

Запросить подстановочный сертификат:

acme.sh –issue –dns dns_namecheap -d '* .example.org'

DigitalOcean

Если ваш домен использует DNS DigitalOcean, выполните следующие действия. инструкция по созданию персонального токена доступа с разрешениями на чтение и запись. Экспорт API ключа / токена:

export DO_API_KEY = "your_digitalocean_api_token"

Запросить подстановочный сертификат:

acme.sh –issue –dns dns_dgon -d '* .example.org'

Иди папа

Если ваш домен использует GoDaddy DNS, скопируйте его Ваш ключ API и секретный ключ, Экспортируйте их в свою среду:

export GD_Key = "your_godaddy_api_key" export GD_Secret = "your_godaddy_api_secret"

Запросить подстановочный сертификат:

acme.sh –issue –dns dns_gd -d '* .example.org'

Vultr

Если вы используете DNS Vultr, вам понадобится ваш личный токен доступа или суб-профиль с разрешениями «Управление DNS».

export VULTR_API_KEY = "your_vultr_api_key"

Запросить подстановочный сертификат:

acme.sh –issue –dns dns_vultr -d '* .example.org'

Rackspace

Если вы используете RackSpace, вам понадобится ваше имя пользователя и ключ API. Экспортируйте их, как показано ниже:

export RACKSPACE_Username = "your_rackspace_username" export RACKSPACE_Apikey = "your_rackspace_api_key"

Запросить подстановочный сертификат:

acme.sh – выпуск –dns dns_rackspace -d '* .example.org'

Ручной процесс

Если вы не хотите или не можете использовать API, предоставляемый вашим DNS-провайдером, вы можете вручную создать запись DNS для выполнения проверки домена, но вам также придется регулярно повторять этот процесс вручную, чтобы продлить домен.

acme.sh –issue –dns –yes-I-знаю-dns-manual-mode-достаточно-идти-вперед-пожалуйста -d '* .example.org'

Эта команда отобразит токен подтверждения, который вам нужно будет добавить в качестве записи TXT DNS.

Скопируйте токен и войдите в панель управления DNS. Создайте новую запись DNS TXT для субдомена _acme-challenge и вставьте токен.

Подождите несколько минут, пока новая запись станет доступной, а затем запросите сертификат:

acme.sh –renew –yes-I-know-dns-manual-mode-достаточно-продолжай-пожалуйста -d '* .example.org'

Расположение файлов

Сертификат и другие соответствующие файлы можно найти в каталоге «.acme.sh» в вашей домашней папке.

Сам сертификат сохраняется как "~ / .acme.sh / *. Example.org/*.example.org.cer ".

Ключ сертификата сохраняется как "~ / .acme.sh / *. Example.org/*.example.org.key ". Держите этот файл закрытым и никогда не делитесь им.

Файл сертификата полной цепочки, который вы, скорее всего, будете использовать, будет сохранен как "~ / .acme.sh / *. Example.org/fullchain.cer ". Этот файл связывает сертификат с сертификатом выдающего органа (известный как промежуточный сертификат).

Следуйте инструкциям выше, чтобы получить сертификат домена Wildcard Encrypt.

Эта статья полезна?