Let's Encrypt 配置泛域名通用SS證書 備忘

獲取certbot 客戶端

# 下載 Certbot 客戶端
$ wget -c https://dl.eff.org/certbot-auto -P /usr/local/bin/
# 設爲可執行權限
$ chmod a+x /usr/local/bin/certbot-auto
$ certbot-auto --version
certbot 0.34.2

開始申請證書

certbot-auto certonly  -d *.example.com --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory 

Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y  #詢問是否對域名和機器（IP）進行綁定

這一步填寫Y

以下一步是最頭疼的一步

以上確認後繼續，以下提示要求配置 DNS TXT 記錄，從而校驗域名所有權，也就是判斷證書申請者是否有域名的所有權。

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

OGWxK87UxvB5iMp2tn-tfnB7r_kICS3oSRHyo0ouwzU

Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue  ## 這裏切記自己驗證生效後再回車執行

上面輸出要求給 _acme-challenge.example.com 配置一條 TXT 記錄，在沒有確認 TXT 記錄生效之前不要回車執行。請自行登錄域名管理系統，比如我在namecheap買的域名，以下是我在域名解析裏面配置的TXT記錄.

在沒有確認 TXT 記錄生效之前不要回車執行

在沒有確認 TXT 記錄生效之前不要回車執行

在沒有確認 TXT 記錄生效之前不要回車執行

重要的事情強調三遍。

這串值會變，每次重新申請後，

OGWxK87UxvB5iMp2tn-tfnB7r_kICS3oSRHyo0ouwzU

TXT  有人不會做，

_acme-challenge.example.com   這個域名     _acme-challenge  填寫在主機處。

OGWxK87UxvB5iMp2tn-tfnB7r_kICS3oSRHyo0ouwzU

這一串值放到    記錄值哪裏。

等待5-10分鐘。

另外等待期間可以使用以下命令查看TXT記錄生效情況

自己電腦運行CMD

nslookup -q=txt  example.com

以下是下載的四個證書文件的英文說明

This directory contains your keys and certificates.

`privkey.pem`  : the private key for your certificate.
`fullchain.pem`: the certificate file used in most server software.
`chain.pem`    : used for OCSP stapling in Nginx >=1.3.7.
`cert.pem`     : will break many server configurations, and should not be used
                 without reading further documentation (see link below).

WARNING: DO NOT MOVE OR RENAME THESE FILES!
         Certbot expects these files to remain in this location in order
         to function properly!

We recommend not moving these files. For more information, see the Certbot
User Guide at https://certbot.eff.org/docs/using.html#where-are-my-certificates.

翻譯後如下

此目錄包含您的密鑰和證書。
`privkey.pem`：證書的私鑰。
`fullchain.pem`：大多數服務器軟件中使用的證書文件。
`chain.pem`：用於Nginx>=1.3.7的OCSP縫合。
`cert.pem`：將破壞許多服務器配置，不應使用
不需要閱讀進一步的文檔（見下面的鏈接）。
警告：不要移動或重命名這些文件！
Certbot希望這些文件按順序保留在此位置
才能正常工作！
我們建議不要移動這些文件。有關更多信息，請參見Certbot
用戶指南https://certbot.eff.org/docs/using.html#我的證書在哪裏。

第一個和第二個證書應用最普遍