注:本教程在Vultr VPS上测试通过,如需部署请前往Vultr.com
在2018年3月,我们加密添加了对通配符证书的支持。通配符证书使您可以使用单个证书来保护域的所有第一级子域。通配符证书只能通过ACMEv2获得,它是ACME协议的更新版本。要将ACMEv2用于通配符或非通配符证书,您需要一个已更新以支持ACMEv2的客户端。一个这样的客户端是acme.sh,它是ACME / ACMEv2协议客户端,完全用Shell(Unix外壳)语言编写,没有任何依赖性。此外,必须使用DNS-01质询类型来验证通配符域。这意味着您需要修改DNS TXT记录以证明对域的控制权以获得通配符证书。
在本指南中,我们说明了如何通过使用Ubuntu 19.04上的Let’s Encrypt获取和部署免费的通配符证书。 acme.sh 客户, 词典 通过使用Vultr API自动操作DNS记录的工具,并将证书部署到Nginx Web服务器。
要求
新部署的Ubuntu 19.04 Vultr云服务器。
您有一个注册域名。本指南使用 example.com 作为示例域。
确保已为完全限定域名(FQDN)设置了A / AAAA和CNAME DNS记录。如果您需要熟悉DNS概念,则不妨参考Vultr DNS入门指南。
在Vultr帐户控制面板中启用了Vultr API访问。
在你开始之前
检查Ubuntu版本。
lsb_release -ds
# Ubuntu 19.04
使用创建新的用户帐户 sudo 访问和您的首选用户名,然后切换到该用户名。我们用 johndoe。
adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe
注意:更换 johndoe 使用您的用户名。
设置时区。
sudo dpkg-reconfigure tzdata
确保您的Ubuntu系统是最新的。
sudo apt update && sudo apt upgrade -y
安装必要的软件包。
sudo apt install -y git wget curl socat
安装Nginx
安装Nginx Web服务器。
sudo apt install -y nginx
检查版本。
sudo nginx -v
# nginx version: nginx/1.15.9 (Ubuntu)
安装Python和Lexicon
在使用acme.sh和Vultr API从Let’s Encrypt获取通配符证书的过程中,第一步是需要安装 蟒蛇 和 词典。 Lexicon是一个Python软件包,它提供了一种以标准化方式处理多个DNS提供程序上的DNS记录的方法。
如果尚未在系统上安装Python,请安装。
sudo apt install -y python3
通过验证版本来确认安装。
python3 --version
# Python 3.7.3
安装Lexicon工具。词典是一个Python工具,可让您以标准化方式在各种DNS提供程序上处理DNS记录。
sudo apt install -y lexicon
检查词典版本。
lexicon --version
# lexicon 3.0.8
安装 acme.sh 客户
Acme.sh 是纯用Shell(Unix Shell)语言编写的ACME协议客户端,可自动通过Let’s Encrypt获得签名证书的过程。它支持ACME v1和ACME v2,最重要的是,它支持ACME v2通配符证书。在本节中,我们将安装Acme.sh脚本。
注意: 建议使用 root 用户安装 acme.sh,虽然不需要 root/sudo 访问。
切换到 root 普通用户(如果已创建)。
sudo su - root
下载并安装 acme.sh。
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh
./acme.sh --install --accountemail "[email protected]"
source ~/.bashrc
cd
检查版本。
acme.sh --version
# v2.8.2
从“让我们加密”获取通配符证书
要获得通配符证书,我们只能使用DNS验证方法。我们使用Lexicon和Vultr DNS API来操纵TXT DNS记录。
获取您的域的RSA和ECC通配符证书。
# Configure your API key and username
export PROVIDER=vultr
export LEXICON_VULTR_USERNAME="[email protected]"
export LEXICON_VULTR_TOKEN="XXXXXXXXXXXXXXX"
# RSA 2048
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength 2048
# ECC 256
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength ec-256
注意:别忘了更换 example.com 用您的域名,并用您自己的Vultr API占位符值替换。
运行上述命令后,您的证书和密钥位于:
对于RSA: ~/.acme.sh/example.com 目录。
对于ECC / ECDSA: ~/.acme.sh/example.com_ecc 目录。
注意:您不应在以下位置使用证书文件 ~/.acme.sh/ 文件夹,仅供内部使用,将来目录结构可能会更改。
要列出您的证书,可以运行:
acme.sh --list
创建一个文件夹以在生产中存储您的证书。我们用 /etc/letsencrypt 目录。
sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc
在服务器上安装/复制用于生产的证书。
# RSA
acme.sh --install-cert -d example.com
--cert-file /etc/letsencrypt/example.com/cert.pem
--key-file /etc/letsencrypt/example.com/private.key
--fullchain-file /etc/letsencrypt/example.com/fullchain.pem
--reloadcmd "sudo systemctl reload nginx.service"
# ECC/ECDSA
acme.sh --install-cert -d example.com --ecc
--cert-file /etc/letsencrypt/example.com_ecc/cert.pem
--key-file /etc/letsencrypt/example.com_ecc/private.key
--fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem
--reloadcmd "sudo systemctl reload nginx.service"
现在我们已经从Let’s Encrypt成功获取了通配符证书,我们需要配置Nginx Web服务器。所有证书每60天自动更新一次。
获得证书并将其安装到您的首选位置后,您可以从以下位置注销 root 普通用户 sudo 用户并继续通过使用来管理您的服务器 sudo 如果需要的话。
exit
配置Nginx Web服务器
跑 sudo vim /etc/nginx/sites-available/example.com.conf 并使用以下内容填充文件。替换所有出现的 example.com 用您自己的域名。
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name example.com *.example.com;
root /var/www/example.com;
# RSA
ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/example.com/private.key;
# ECDSA
ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;
}
激活新的 example.com.conf 通过将文件链接到 sites-enabled 目录。
sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/
测试Nginx配置。
sudo nginx -t
重新加载Nginx。
sudo systemctl reload nginx.service
而已。我们使用acme.sh,Lexicon和Vultr API将通配符证书部署到Nginx。当您要保护动态生成的多个第一级子域时,通配符证书会很有用。
注:本教程在Vultr VPS上测试通过,如需部署请前往Vultr.com
