Cuando se trata de certificados SSL gratuitos, definitivamente recomiendo Let's Encrypt. Su solicitud es gratuita, fácil de instalar y se puede renovar indefinidamente. Actualmente, el sitio web principal de wzfou.com utiliza el certificado SSL gratuito de Let's Encrypt. A algunas personas les preocupa no poder utilizar el certificado Let's Encrypt sin un servidor VPS. De hecho, ahora puede solicitar Let's Encrypt en línea.
El certificado SSL de nombre de dominio único de Let's Encrypt ha promovido enormemente la popularidad de los certificados SSL en todo el mundo, y ahora la noticia aún más emocionante es: después de innumerables retrasos, ¡el certificado SSL gratuito de nombre de dominio completo de Let's Encrypt Wildcard finalmente está en línea! Cualquier persona puede presentar su solicitud de forma gratuita y el script Acme.sh se puede utilizar para lograr la emisión con un solo clic, lo cual es muy conveniente.
acme.sh implementa el protocolo acme y puede generar certificados gratuitos desde letsencrypt. Pasos principales: instalar acme.sh, generar certificado, copiar certificado a nginx/apache u otros servicios, actualizar certificado, actualizar acme.sh. El certificado SSL de nombre de dominio gratuito Let's Encrypt Wildcard sigue siendo válido durante tres meses y acme.sh lo renovará automáticamente.
Este artículo compartirá la aplicación de un solo clic del certificado SSL pandominio gratuito Let's Encrypt Wildcard y el tutorial de uso de SSL. Para obtener más experiencia en creación de sitios web y recursos de creación de sitios web, puede probar:
- Cinco cosas a tener en cuenta al realizar retiros de efectivo de PayPal: vinculación de la cuenta, falta de bloqueo, tarifas de gestión y tiempo de retiro
- Diez consejos de aceleración de CDN gratuitos de CloudFlare que quizás no conozcas: SSLDDOSCache
- Aceleración de CDN autoconstruida: enlace inverso de Nginx, aceleración de caché, actualización automática de caché y obtención de IP real
PD: Actualizado el 6 de abril de 2018, Para obtener más certificados SSL gratuitos, consulte el tema especial que recopilé y organicé: Colección y resumen de certificados SSL gratuitos: agregue acceso cifrado seguro HTTPS al sitio web de forma gratuita.
PD: Actualizado el 26 de marzo de 2018, Let's Encrypt requiere un host VPS antes de poder solicitarlo. Los amigos que solo tienen un host virtual pueden intentar solicitar SSL gratis en línea: tres certificados SSL gratuitos en línea Dirección de solicitud. : AlwaysOnSSL, SSL gratis y FreeSSL.org.
PD: actualizado el 15 de octubre de 2018, Tutorial detallado de instalación del certificado SSL gratuito de letsencrypt, referencia: solicite e instale el certificado SSL gratuito de letsencrypt para el sitio web en tres sencillos pasos: acme.sh se renueva automáticamente.
1. Preparación antes de solicitar el certificado SSL de dominio pan de Let's Encrypt
Página web oficial:
- HTTPS://lets encrypt.org/
- https://github.com/neil-fat/acme.is
- HTTPS://¿Estoy aquí?.com/VPS-List/
1.1 servidor VPS
Para instalar el certificado SSL pandominio gratuito de Let's Encrypt Wildcard, necesita al menos un host VPS. Con respecto a la compra de un host VPS, puede leer mis reseñas de hosts VPS: Acceso a proveedores de hosts VPS de la línea CN2 y resumen de la sala de computadoras y clasificaciones de hosts VPS. uno.
Si no le importa la molestia de registrarse + registrarse, puede elegir proveedores de alojamiento VPS nacionales como Alibaba Cloud VPS, Tencent Cloud VPS, JD Cloud VPS, etc. Si desea un VPS rápido que no requiera registro + registro, puedes probar la línea CN2 o VPS de salas de informática de Hong Kong o Corea, como Alibaba Cloud Hong Kong, CN2 VPS, Kdatacenter, etc.
1.2 Haz un buen trabajo en la resolución DNS
Let's Encrypt admite DNS Pod, CloudXNS, Amazon Route53, CloudFlare y otras resoluciones DNS. Primero debe modificar el NS del nombre de dominio.
2. Herramienta Let's Encrypt SSL acme.sh
2.1 Instalar acme.sh
acme.sh implementa el protocolo acme y puede generar certificados gratuitos desde letsencrypt. La instalación es sencilla, sólo un comando:
curl https://get.acme.sh | sh
Tanto los usuarios normales como los usuarios root pueden instalarlo y utilizarlo. Instale acme.sh en su directorio home: ~/.acme.sh/ y cree un alias de bash para su conveniencia: acme.sh= ~/.acme. sh/acme.sh
Al mismo tiempo, acme.sh crea automáticamente un cronjob y detecta automáticamente todos los certificados a las 0:00 todos los días. Si está a punto de caducar y necesita actualizarse, el certificado se actualizará automáticamente. El proceso de instalación no contaminará ninguna función ni archivo existente del sistema , y todas las modificaciones se limitan al directorio de instalación: ~/.acme.sh/.
2.2 Obtener API de DNS
Actualmente, acme.sh necesita utilizar la API de DNS para verificar el nombre de dominio. Aquí tomamos DNSPOD como ejemplo. Puede encontrar la API ingresando al centro de usuarios.
Haga clic para crear una nueva API.
Finalmente puede copiar el ID y la clave de API.
2.3 Emisión del certificado de nombre de dominio Let's Encrypt
DNSPod se utiliza aquí como demostración. Si está utilizando otro DNS, consulte el apéndice de este artículo. Los comandos de diferentes DNS son diferentes. Ejecute los siguientes comandos para guardar la clave API y el ID de DNSPOD.
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
Este DP_Id y DP_Key se guardan en ~/.acme.sh/account.conf. Ejecute el siguiente comando para emitir un certificado de nombre de dominio Let's Encrypt:
acme.sh --issue --dns dns_dp -d wzfou.com -d *.wzfou.com
#默认签发的是RSA,如果你想签发ECC证书,请使用以下命令
acme.sh --issue --dns dns_dp -d wzfou.com -d *.wzfou.com --keylength ec-256
#可选长度有:
ec-256 (prime256v1, “ECDSA P-256”)
ec-384 (secp384r1, “ECDSA P-384”)
Todo el proceso de emisión es muy rápido. Una vez completado, puede generar la ruta del certificado SSL.
Ahora abra la ruta del certificado Fullchain.cer es el certificado de nombre de dominio completo y wzfou.com.key es la clave. Solo necesita descargar estos dos archivos para habilitar el certificado SSL de Let's Encrypt.
3. Instalación del certificado SSL Let's Encrypt
De hecho, todos los paneles host VPS actualmente populares ya admiten certificados SSL personalizados o la aplicación e instalación con un solo clic de certificados SSL Let's Encrypt, como BT.cn Pagoda Panel, OneinStack, LNMP, WDCP, AppNode Panel, etc. Para conocer más métodos de instalación, consulte: Lista del panel de control del servidor.
4. Apéndice: Obtención y emisión de SSL mediante las principales API de DNS
ilustrar:
- Referencia del apéndice de: https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md
- Resumen de servicios de resolución de DNS: https://wzfou.com/mianfei-dns/
- Al emitir un SSL de dominio completo, cambie la parte del comando:
-d www.example.coma:-d *.example.com
4.1 API de DNS de CloudFlare
Primero debe iniciar sesión en su cuenta de CloudFlare para obtener su clave API.
export CF_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export CF_Email="xxxx@sss.com"
Ok, emitamos un certificado ahora:
acme.sh --issue --dns dns_cf -d example.com -d www.example.com
La CF_Key y el CF_Email se guardarán en ~/.acme.sh/account.conf y se reutilizarán cuando sea necesario.
Primero debe iniciar sesión en su cuenta DNSPod para obtener su clave API e ID.
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
Ok, emitamos un certificado ahora:
acme.sh --issue --dns dns_dp -d example.com -d www.example.com
El DP_Id y la DP_Key se guardarán en ~/.acme.sh/account.conf y se reutilizarán cuando sea necesario.
4.3 API DNS de CloudXNS
Primero debe iniciar sesión en su cuenta CloudXNS para obtener su clave API y su secreto.
export CX_Key="1234"
export CX_Secret="sADDsdasdgdsf"
Ok, emitamos un certificado ahora:
acme.sh --issue --dns dns_cx -d example.com -d www.example.com
CX_Key y CX_Secret se guardarán en ~/.acme.sh/account.conf y se reutilizarán cuando sea necesario.
4.4 API DNS de Aliyun en la nube de Alibaba
Primero debe iniciar sesión en su cuenta de Alibaba Cloud Aliyun para obtener su clave API https://ak-console.aliyun.com/#/accesskey.
export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
Ok, emitamos un certificado ahora:
acme.sh --issue --dns dns_ali -d example.com -d www.example.com
Ali_Key y Ali_Secret se guardarán en ~/.acme.sh/account.conf y se reutilizarán cuando sea necesario.
4.5 API DNS de GoDaddy
Primero debe iniciar sesión en su cuenta de GoDaddy para obtener su clave API y su secreto https://developer.godaddy.com/keys/.
Cree una clave de producción, en lugar de una clave de prueba.
export GD_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export GD_Secret="asdfsdafdsfdsfdsfdsfdsafd"
Ok, emitamos un certificado ahora:
acme.sh --issue --dns dns_gd -d example.com -d www.example.com
GD_Key y GD_Secret se guardarán en ~/.acme.sh/account.conf y se reutilizarán cuando sea necesario.
4.6 API DNS de PowerDNS
Primero debe iniciar sesión en su cuenta PowerDNS para habilitar la API y configurar su API-Token en la configuración https://doc.powerdns.com/md/httpapi/README/.
export PDNS_Url="http://ns.example.com:8081"
export PDNS_ServerId="localhost"
export PDNS_Token="0123456789ABCDEF"
export PDNS_Ttl=60
Ok, emitamos un certificado ahora:
acme.sh --issue --dns dns_pdns -d example.com -d www.example.com
El PDNS_Url, PDNS_ServerId, PDNS_Token y PDNS_Ttl se guardarán en ~/.acme.sh/account.conf y se reutilizará cuando sea necesario.
4.7 API de DNS de Amazon Route53
Vea el método: https://github.com/Neilpang/acme.sh/wiki/How-to-use-Amazon-Route53-API
export AWS_ACCESS_KEY_ID=XXXXXXXXXX
export AWS_SECRET_ACCESS_KEY=XXXXXXXXXXXXXXX
Para emitir un certificado:
acme.sh --issue --dns dns_aws -d example.com -d www.example.com
AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY se guardarán en ~/.acme.sh/account.conf y se reutilizarán cuando sea necesario.
4.8 API DNS de Linodo
Primero debe iniciar sesión en su cuenta Linode para obtener su clave API https://manager.linode.com/profile/api.
Luego agregue una clave API con la etiqueta ACME y copie la nueva clave.
export LINODE_API_KEY="..."
Debido al tiempo de recarga de cualquier cambio en los registros DNS, tenemos que usar la opción dnssleep para esperar al menos 15 minutos para que los cambios surtan efecto.
Ok, emitamos un certificado ahora:
acme.sh --issue --dns dns_linode --dnssleep 900 -d example.com -d www.example.com
La LINODE_API_KEY se guardará en ~/.acme.sh/account.conf y se reutilizará cuando sea necesario.
4.9 API DNS de DigitalOcean (nativa)
Debe obtener una clave API con capacidad de lectura y escritura de su cuenta de DigitalOcean. Consulte: https://www.digitalocean.com/help/api/.
export DO_API_KEY="75310dc4ca779ac39a19f6355db573b49ce92ae126553ebd61ac3a3ae34834cc"
Ok, emitamos un certificado ahora:
acme.sh --issue --dns dns_dgon -d example.com -d www.example.com
Deberá generar una clave API en https://www.namesilo.com/account_api.php. Opcionalmente, puede restringir el acceso a un rango de IP allí.
export Namesilo_Key="xxxxxxxxxxxxxxxxxxxxxxxx"
Y ahora puedes emitir certificados con:
acme.sh --issue --dns dns_namesilo --dnssleep 900 -d example.com -d www.example.com
4.11 Uso de API personalizadas
Si su API aún no es compatible, puede escribir su propia API DNS.
Supongamos que quiere llamarlo "myapi":
- Cree un script bash llamado
~/.acme.sh/dns_myapi.sh, - En el script debe tener una función llamada
dns_myapi_add()que será llamada por acme.sh para agregar los registros DNS. - Luego puedes usar tu API para emitir un certificado como este:
acme.sh --issue --dns dns_myapi -d example.com -d www.example.com
5. Resumen
La aplicación e instalación del certificado SSL de nombre de dominio gratuito Let's Encrypt Wildcard es relativamente simple. Actualmente podemos solicitar el nombre de dominio SSL Let's Encrypt a través de scripts. Creo que pronto todos los principales paneles de control de host VPS tendrán la aplicación e instalación de pan-dominio con un solo clic. Certificados SSL.
El certificado SSL pan-dominio gratuito de Let's Encrypt Wildcard requiere verificación DNS. El apéndice enumera las principales API de resolución de nombres de dominio DNS y los comandos para emitir certificados SSL. Si está emitiendo un SSL pan-dominio, reemplácelo. www Simplemente haga clic en *.