使用certbot申请泛域名证书
系统环境:centos7 泛域名解析指向了该服务器的外网IP
下载certbot
yum install epel-release -y
yum install certbot -y
2.解析泛域名到该服务器,添加一个A记录值指向该域名
3.申请证书
certbot certonly --manual --preferred-challenges=dns
certonly表示我们只想要获取证书,--manual表示使用手动方式,--preferred-challenges=dns表示使用dns挑战(若要使用其他方式,请参考官方指南https://certbot.eff.org/docs/using.htm)
这里使用手动获取的方式,手动获取可以不需要登录目标主机,可在其他主机上获取目标主机的ssl证书
这里使用的是dns挑战,还可以使用http挑战,如果服务器的80端口无法访问则会出现问题,推荐使用dns
4.提示输入邮箱地址
阅读服务条款
5.提示:是否共享你的邮箱地址 我选择no
6.提示:输入想要申请的泛域名 格式: xxx.com *.xxx.com 单域名格式:xxx.com www.xxx.com等
7.提示添加一条域名解析:TXT 格式的DNS文本记录
8.在域名服务商处:添加域名解析
9.添加好了,回到终端回车:红色箭头是证书地址, fullchain.pem是pem文件。 privkey.pem是key文件
10.可以直接把证书修改为常用的名称
cd /etc/letsencrypt/live/xxx.com
cp fullchain.pem xxx.com.pem
cp privkey.pem xxx.com.pem