今天Let's Encrypted泛域名证书终于正式上线,Let's Encrypted提供的泛域名证书跟其之前提供的单域名证书一样,90天续期一次,但是有一点不同的是,其泛域名证书的申请需要通过ACME V2来申请。
官方发布地址:
https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579
支持ACME的客户端:
https://letsencrypt.org/docs/client-options/

使用方法:

1.下载安装ACME.SH

curl https://get.acme.sh | sh

wget -O - https://get.acme.sh | sh

QQ截图20180315221159.png

2.使用

这里分两种方式,第一种是通过DNS进行txt解析,另一种方式是使用域名DNS解析服务商提供的API进行验证签发。

方法一、DNS解析方式签发

/.acme.sh/acme.sh  --issue -d  exmaple.com  -d *.example.com --dns

之后到域名DNS解析,按提示增加一条txt解析。
QQ截图20180315221651.png
待解析生效后,再回到Linux,执行下面语句:

/.acme.sh/acme.sh  --renew -d  exmaple.com  -d *.example.com

QQ截图20180315222041.png
这个图是失败的情况,可能是解析没生效的原因

方法二、使用域名解析服务商API签发

默认支持超过40家域名解析服务商的API,另外还可以自定义API,可以说世界上主流的服务商都已经支持了。国人常用的,如:

CloudFlare 
DNSPod.cn
CloudXNS.com
Aliyun
GoDaddy.com
ClouDNS.net

等。更多服务商,请查看:
https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md
下面以DNSPod.cn为例,在树莓派上对dwz.nz这个域名进行签发:
1.打开https://www.dnspod.cn/console/user/security 。查看API Token,创建一个API Token。(这个API很重要请一定要保存)
2.使用API Token

export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"

3.开始签发

/root/.acme.sh/acme.sh --issue --dns dns_dp -d dwz.nz -d *.dwz.nz

4.签发成功
QQ截图20180315223436.png
5.找到证书,证书位于/root/.acme.sh/dwz.nz
我们只需要用到 fullchain.cer 、dwz.nz.key 这两个文件
QQ截图20180315223743.png

总结:

通过DNS解析验证域名之后签发,和通过域名API进行签发的区别就是,第一种不能自动续签,到期后需要自己手动续签,第二种每60天续签一次。

详细的使用说明请参见官方文档(中文):
https://github.com/Neilpang/acme.sh/wiki/%E8%AF%B4%E6%98%8E