En ce qui concerne les certificats SSL gratuits, je recommande vivement Let's Encrypt. Sa demande est gratuite, facile à installer et peut être renouvelée indéfiniment. Actuellement, le site Web principal de wzfou.com utilise le certificat SSL gratuit de Let's Encrypt. Certaines personnes craignent de ne pas pouvoir utiliser le certificat Let's Encrypt sans un hébergeur VPS. En fait, vous pouvez désormais demander directement en ligne.
Le certificat SSL de nom de domaine unique de Let's Encrypt a grandement favorisé la popularité des certificats SSL dans le monde entier, et maintenant la nouvelle encore plus excitante est la suivante : après d'innombrables retards, le certificat SSL gratuit de nom de domaine pan-domaine de Let's Encrypt Wildcard est enfin en ligne ! Tout individu peut postuler gratuitement et le script Acme.sh peut être utilisé pour obtenir une émission en un clic, ce qui est très pratique.
acme.sh implémente le protocole acme
et peut générer des certificats gratuits à partir de letsencrypt. Étapes principales : installer acme.sh, générer un certificat, copier le certificat vers nginx/apache ou d'autres services, mettre à jour le certificat, mettre à jour acme.sh. Le certificat SSL de nom de domaine gratuit Let's Encrypt Wildcard est toujours valable trois mois et sera automatiquement renouvelé par acme.sh.
Cet article partagera l'application en un clic du certificat SSL pan-domaine gratuit Let's Encrypt Wildcard et le didacticiel d'utilisation de SSL. Pour plus d'expérience en matière de création de sites Web et de ressources de création de sites Web, vous pouvez essayer :
- Cinq choses à noter lors des retraits d'espèces PayPal : liaison du compte, échec de verrouillage, frais de traitement et délai de retrait
- Dix conseils d'accélération CDN gratuits CloudFlare que vous ne connaissez peut-être pas -SSLDDOSCache
- Accélération CDN auto-construite-liaison inverse Nginx, accélération du cache, mise à jour automatique du cache et obtention d'une véritable adresse IP
PS : mis à jour le 6 avril 2018 Pour plus de certificats SSL gratuits, veuillez consulter le sujet spécial que j'ai collecté et organisé : Collecte et résumé gratuits de certificats SSL - ajoutez gratuitement un accès crypté sécurisé HTTPS au site Web.
PS : mis à jour le 26 mars 2018, Let's Encrypt nécessite un hôte VPS avant de pouvoir en faire la demande. Les amis qui n'ont qu'un hôte virtuel peuvent essayer de demander un SSL gratuit en ligne : trois certificats SSL gratuits en ligne. Adresse de l'application. : AlwaysOnSSL, SSL gratuitement et FreeSSL.org.
PS : mis à jour le 15 octobre 2018 Tutoriel détaillé d'installation du certificat SSL gratuit Letsencrypt, référence : demandez et installez le certificat SSL gratuit Letsencrypt pour le site Web en trois étapes simples - acme.sh se renouvelle automatiquement.
1. Préparation avant de demander un certificat SSL pan-domaine Let's Encrypt
Site officiel:
- HTTPS://lets encrypt.org/
- https://github.com/neil-fat/acme.is
- HTTPS://Suis-je ici.com/VPS-List/
1.1 Serveur VPS
Pour installer le certificat SSL pan-domaine gratuit Let's Encrypt Wildcard, vous avez besoin d'au moins un hôte VPS. Concernant l'achat d'un hôte VPS, vous pouvez lire mes avis sur les hôtes VPS : Accès aux fournisseurs d'hébergement VPS de la ligne CN2, résumé de la salle informatique et classement des hôtes VPS. un.
Si les tracas de l'enregistrement + de l'enregistrement ne vous dérangent pas, vous pouvez choisir des fournisseurs d'hébergement VPS nationaux tels que Alibaba Cloud VPS, Tencent Cloud VPS, JD Cloud VPS, etc. Si vous souhaitez un VPS rapide qui ne nécessite pas d'enregistrement + enregistrement, vous pouvez essayer la ligne CN2 ou les VPS de salles informatiques de Hong Kong ou de Corée, comme Alibaba Cloud Hong Kong, CN2 VPS, Kdatacenter, etc.
1.2 Faire du bon travail en résolution DNS
Let's Encrypt prend en charge DNS Pod, CloudXNS, Amazon Route53, CloudFlare et d'autres résolutions DNS. Vous devez d'abord modifier le NS du nom de domaine.
2. Outil SSL Chiffrons acme.sh
2.1 Installer acme.sh
acme.sh implémente le protocole acme
et peut générer des certificats gratuits à partir de letsencrypt. L'installation est simple, une seule commande :
curl https://get.acme.sh | sh
Les utilisateurs ordinaires et les utilisateurs root peuvent l'installer et l'utiliser. Installez acme.sh dans votre répertoire home : ~/.acme.sh/
et créez un alias bash pour votre commodité : acme.sh= ~/.acme. sh/acme.sh
Dans le même temps, acme.sh crée automatiquement une tâche cron pour vous et détecte automatiquement tous les certificats à 0h00 chaque jour. S'il est sur le point d'expirer et doit être mis à jour, le certificat sera automatiquement mis à jour. Le processus d'installation ne polluera aucune fonction ni aucun fichier système existant , et toutes les modifications sont limitées au répertoire d'installation : ~/.acme.sh/
.
2.2 Obtenir l'API DNS
Actuellement, acme.sh doit utiliser l'API DNS pour vérifier le nom de domaine. Ici, nous prenons DNSPOD comme exemple. Vous pouvez trouver l'API en entrant dans le centre utilisateur.
Cliquez pour créer une nouvelle API.
Enfin, vous pouvez copier l'ID et la clé de l'API.
2.3 Délivrance du certificat de nom de domaine Let's Encrypt
DNSPod est utilisé comme démonstration ici. Si vous utilisez un autre DNS, veuillez vous référer à l'annexe sous cet article. Les commandes des différents DNS sont différentes. Exécutez les commandes suivantes pour enregistrer la clé API et l'ID de DNSPOD.
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
Ce DP_Id
et cette DP_Key
sont enregistrés dans ~/.acme.sh/account.conf
. Exécutez la commande suivante pour émettre un certificat de nom de domaine Let's Encrypt :
acme.sh --issue --dns dns_dp -d wzfou.com -d *.wzfou.com
#默认签发的是RSA,如果你想签发ECC证书,请使用以下命令
acme.sh --issue --dns dns_dp -d wzfou.com -d *.wzfou.com --keylength ec-256
#可选长度有:
ec-256 (prime256v1, “ECDSA P-256”)
ec-384 (secp384r1, “ECDSA P-384”)
L'ensemble du processus d'émission est très rapide. Une fois terminé, vous pouvez générer le chemin du certificat SSL.
Ouvrez maintenant le chemin du certificat. Fullchain.cer est le certificat de nom de domaine complété et wzfou.com.key est la clé. Il vous suffit de télécharger ces deux fichiers pour activer le certificat SSL Let's Encrypt.
3. Chiffrons l’installation du certificat SSL
En fait, tous les panneaux d'hôtes VPS actuellement populaires prennent déjà en charge les certificats SSL personnalisés ou l'application et l'installation en un clic de certificats SSL Let's Encrypt, tels que BT.cn Pagoda Panel, OneinStack, LNMP, WDCP, AppNode Panel, etc. Pour plus de méthodes d'installation, veuillez vous référer à : Liste du panneau de configuration du serveur.
4. Annexe : Obtention et émission de SSL par les principales API DNS
illustrer:
- Référence de l'annexe depuis : https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md
- Récapitulatif des services de résolution DNS : https://wzfou.com/mianfei-dns/
- Lors de l'émission d'un SSL pan-domaine, veuillez modifier la partie commande :
-d www.example.com
par :-d *.example.com
4.1 API DNS CloudFlare
Vous devez d'abord vous connecter à votre compte CloudFlare pour obtenir votre clé API.
export CF_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export CF_Email="xxxx@sss.com"
Ok, délivrons un certificat maintenant :
acme.sh --issue --dns dns_cf -d example.com -d www.example.com
Les CF_Key
et CF_Email
seront enregistrés dans ~/.acme.sh/account.conf
et seront réutilisés si nécessaire.
Vous devez d’abord vous connecter à votre compte DNSPod pour obtenir votre clé API et votre identifiant.
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
Ok, délivrons un certificat maintenant :
acme.sh --issue --dns dns_dp -d example.com -d www.example.com
Le DP_Id
et la DP_Key
seront enregistrés dans ~/.acme.sh/account.conf
et seront réutilisés si nécessaire.
4.3 API DNS CloudXNS
Vous devez d'abord vous connecter à votre compte CloudXNS pour obtenir votre clé API et votre secret.
export CX_Key="1234"
export CX_Secret="sADDsdasdgdsf"
Ok, délivrons un certificat maintenant :
acme.sh --issue --dns dns_cx -d example.com -d www.example.com
Les CX_Key
et CX_Secret
seront enregistrés dans ~/.acme.sh/account.conf
et seront réutilisés si nécessaire.
4.4 API DNS Alibaba Cloud Aliyun
Vous devez d'abord vous connecter à votre compte Alibaba Cloud Aliyun pour obtenir votre clé API https://ak-console.aliyun.com/#/accesskey.
export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
Ok, délivrons un certificat maintenant :
acme.sh --issue --dns dns_ali -d example.com -d www.example.com
Les Ali_Key
et Ali_Secret
seront enregistrées dans ~/.acme.sh/account.conf
et seront réutilisées si nécessaire.
4.5 API DNS GoDaddy
Vous devez d'abord vous connecter à votre compte GoDaddy pour obtenir votre clé API et votre secret https://developer.godaddy.com/keys/.
Veuillez créer une clé de production au lieu d'une clé de test.
export GD_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export GD_Secret="asdfsdafdsfdsfdsfdsfdsafd"
Ok, délivrons un certificat maintenant :
acme.sh --issue --dns dns_gd -d example.com -d www.example.com
Les GD_Key
et GD_Secret
seront enregistrés dans ~/.acme.sh/account.conf
et seront réutilisés si nécessaire.
4.6 API DNS PowerDNS
Vous devez d'abord vous connecter à votre compte PowerDNS pour activer l'API et définir votre jeton API dans la configuration https://doc.powerdns.com/md/httpapi/README/.
export PDNS_Url="http://ns.example.com:8081"
export PDNS_ServerId="localhost"
export PDNS_Token="0123456789ABCDEF"
export PDNS_Ttl=60
Ok, délivrons un certificat maintenant :
acme.sh --issue --dns dns_pdns -d example.com -d www.example.com
Les PDNS_Url
, PDNS_ServerId
, PDNS_Token
et PDNS_Ttl
seront enregistrés dans ~/.acme.sh/account.conf
et sera réutilisé en cas de besoin.
4.7 API DNS Amazon Route53
Voir la méthode : https://github.com/Neilpang/acme.sh/wiki/How-to-use-Amazon-Route53-API
export AWS_ACCESS_KEY_ID=XXXXXXXXXX
export AWS_SECRET_ACCESS_KEY=XXXXXXXXXXXXXXX
Pour délivrer un certificat :
acme.sh --issue --dns dns_aws -d example.com -d www.example.com
Les AWS_ACCESS_KEY_ID
et AWS_SECRET_ACCESS_KEY
seront enregistrés dans ~/.acme.sh/account.conf
et seront réutilisés si nécessaire.
4.8 API DNS Linode
Vous devez d'abord vous connecter à votre compte Linode pour obtenir votre clé API https://manager.linode.com/profile/api.
Ajoutez ensuite une clé API avec le libellé ACME et copiez la nouvelle clé.
export LINODE_API_KEY="..."
En raison du temps de rechargement de toute modification dans les enregistrements DNS, nous devons utiliser l'option dnssleep
pour attendre au moins 15 minutes pour que les modifications prennent effet.
Ok, délivrons un certificat maintenant :
acme.sh --issue --dns dns_linode --dnssleep 900 -d example.com -d www.example.com
Le LINODE_API_KEY
sera enregistré dans ~/.acme.sh/account.conf
et sera réutilisé si nécessaire.
4.9 API DNS DigitalOcean (native)
Vous devez obtenir une clé API capable de lire et d'écrire à partir de votre compte DigitalOcean. Voir : https://www.digitalocean.com/help/api/.
export DO_API_KEY="75310dc4ca779ac39a19f6355db573b49ce92ae126553ebd61ac3a3ae34834cc"
Ok, délivrons un certificat maintenant :
acme.sh --issue --dns dns_dgon -d example.com -d www.example.com
Vous devrez générer une clé API sur https://www.namesilo.com/account_api.php Vous pouvez éventuellement y restreindre l'accès à une plage IP.
export Namesilo_Key="xxxxxxxxxxxxxxxxxxxxxxxx"
Et maintenant, vous pouvez émettre des certificats avec :
acme.sh --issue --dns dns_namesilo --dnssleep 900 -d example.com -d www.example.com
4.11 Utilisation d'API personnalisées
Si votre API n'est pas encore prise en charge, vous pouvez écrire votre propre API DNS.
Supposons que vous souhaitiez le nommer « myapi » :
- Créez un script bash nommé
~/.acme.sh/dns_myapi.sh
, - Dans le script vous devez avoir une fonction nommée
dns_myapi_add()
qui sera appelée par acme.sh pour ajouter les enregistrements DNS. - Ensuite, vous pouvez utiliser votre API pour émettre un certificat comme ceci :
acme.sh --issue --dns dns_myapi -d example.com -d www.example.com
5. Résumé
L'application et l'installation du certificat SSL de nom de domaine gratuit Let's Encrypt Wildcard sont relativement simples. Actuellement, nous pouvons demander le nom de domaine SSL via des scripts. Je pense que bientôt tous les principaux panneaux de contrôle d'hôte VPS disposeront d'une application et d'une installation pan-domaine en un seul clic. Certificats SSL.
Le certificat SSL pan-domaine gratuit de Let's Encrypt Wildcard nécessite une vérification DNS. L'annexe répertorie les principales API de résolution de noms de domaine DNS et les commandes pour l'émission de certificats SSL. Vous pouvez vous y référer. Si vous émettez un SSL pan-domaine, veuillez les remplacer. www Cliquez simplement sur *.