Khi nói đến chứng chỉ SSL miễn phí, tôi chắc chắn khuyên dùng Let's Encrypt. Nó miễn phí đăng ký, dễ cài đặt và có thể gia hạn vô thời hạn. Hiện tại, trang web chính của wzfou.com sử dụng chứng chỉ SSL miễn phí của Let’s Encrypt. Một số người lo lắng rằng họ không thể sử dụng chứng chỉ Let’s Encrypt nếu không có máy chủ VPS. Trên thực tế, giờ đây bạn có thể đăng ký trực tiếp Let’s Encrypt trực tuyến.
Chứng chỉ SSL tên miền duy nhất của Let's Encrypt đã thúc đẩy đáng kể mức độ phổ biến của chứng chỉ SSL trên toàn thế giới và giờ đây, tin thú vị hơn nữa là: sau vô số lần trì hoãn, chứng chỉ SSL tên miền miễn phí của Let's Encrypt Wildcard cuối cùng đã trực tuyến! Bất kỳ cá nhân nào cũng có thể đăng ký miễn phí và có thể sử dụng tập lệnh Acme.sh để phát hành chỉ bằng một cú nhấp chuột, rất thuận tiện.
acme.sh triển khai giao thức acme và có thể tạo chứng chỉ miễn phí từ letsencrypt. Các bước chính: cài đặt acme.sh, tạo chứng chỉ, sao chép chứng chỉ sang nginx/apache hoặc các dịch vụ khác, cập nhật chứng chỉ, cập nhật acme.sh. Chứng chỉ SSL tên miền miễn phí của Let’s Encrypt Wildcard vẫn có hiệu lực trong ba tháng và sẽ được acme.sh tự động gia hạn.
Bài viết này sẽ chia sẻ ứng dụng chỉ bằng một cú nhấp chuột và hướng dẫn sử dụng SSL cho chứng chỉ SSL tên miền miễn phí Let’s Encrypt Wildcard. Để có thêm kinh nghiệm xây dựng trang web và tài nguyên xây dựng trang web, bạn có thể thử:
- Năm điều cần lưu ý khi thực hiện rút tiền mặt qua PayPal - ràng buộc tài khoản, không khóa, phí xử lý và thời gian rút tiền
- Mười mẹo tăng tốc CDN miễn phí của CloudFlare mà bạn có thể không biết-SSLDDOSCache
- Tăng tốc CDN tự xây dựng-Liên kết ngược Nginx, tăng tốc bộ đệm, tự động cập nhật bộ đệm và lấy IP thực
PS: Cập nhật ngày 6 tháng 4 năm 2018, Để biết thêm chứng chỉ SSL miễn phí, vui lòng xem chủ đề đặc biệt mà tôi đã thu thập và sắp xếp: Thu thập và tóm tắt chứng chỉ SSL miễn phí - thêm quyền truy cập được mã hóa an toàn HTTPS vào trang web miễn phí.
PS: Được cập nhật vào ngày 26 tháng 3 năm 2018, Let's Encrypt yêu cầu máy chủ VPS trước khi bạn có thể đăng ký. Những người bạn chỉ có máy chủ ảo có thể thử đăng ký SSL miễn phí trực tuyến: ba chứng chỉ SSL miễn phí trực tuyến Địa chỉ ứng dụng. : AlwaysOnSSL, SSL miễn phí và FreeSSL.org.
PS: Cập nhật ngày 15 tháng 10 năm 2018, Hướng dẫn chi tiết cài đặt chứng chỉ SSL miễn phí letencrypt, tham khảo: đăng ký và cài đặt chứng chỉ SSL miễn phí letencrypt cho trang web chỉ bằng ba bước đơn giản - acme.sh tự động gia hạn.
1. Chuẩn bị trước khi đăng ký chứng chỉ SSL toàn miền của Let’s Encrypt
Trang web chính thức:
- HTTPS://lets mã hóa.org/
- https://github.com/neil-fat/acme.is
- HTTPS://Tôi có ở đây không.com/VPS-List/
1.1 máy chủ VPS
Để cài đặt chứng chỉ SSL toàn miền miễn phí Let's Encrypt Wildcard, bạn cần có ít nhất một máy chủ VPS Về việc mua máy chủ VPS, bạn có thể đọc các bài đánh giá về máy chủ VPS của tôi: Truy cập vào các nhà cung cấp máy chủ VPS dòng CN2 và bản tóm tắt phòng máy tính cũng như bảng xếp hạng máy chủ VPS. một.
Nếu bạn không ngại đăng ký + đăng ký rắc rối, bạn có thể chọn các nhà cung cấp dịch vụ lưu trữ VPS trong nước như Alibaba Cloud VPS, Tencent Cloud VPS, JD Cloud VPS, v.v. Nếu bạn muốn một VPS nhanh mà không cần đăng ký + đăng ký, bạn có thể dùng thử dòng CN2 hoặc VPS phòng máy Hồng Kông hoặc Hàn Quốc, chẳng hạn như Alibaba Cloud Hong Kong, CN2 VPS, Kdatacenter, v.v.
1.2 Làm tốt việc phân giải DNS
Let’s Encrypt hỗ trợ DNS Pod, CloudXNS, Amazon Route53, CloudFlare và các độ phân giải DNS khác trước tiên.
2. Let’s Encrypt SSL công cụ acme.sh
2.1 Cài đặt acme.sh
acme.sh triển khai giao thức acme và có thể tạo chứng chỉ miễn phí từ letsencrypt. Việc cài đặt rất đơn giản, chỉ cần một lệnh:
curl https://get.acme.sh | sh
Cả người dùng thông thường và người dùng root đều có thể cài đặt và sử dụng nó. Cài đặt acme.sh vào thư mục home của bạn: ~/.acme.sh/ và tạo bí danh bash để thuận tiện cho bạn: acme.sh= ~/.acme. sh/acme.sh
Đồng thời, acme.sh tự động tạo cronjob cho bạn và tự động phát hiện tất cả các chứng chỉ vào lúc 0h hàng ngày. Nếu sắp hết hạn và cần cập nhật, chứng chỉ sẽ được tự động cập nhật. Quá trình cài đặt sẽ không làm ảnh hưởng đến bất kỳ chức năng và tệp hệ thống hiện có nào và mọi sửa đổi đều được giới hạn trong thư mục cài đặt: ~/.acme.sh/.
2.2 Nhận API DNS
Hiện tại acme.sh cần sử dụng API DNS để xác minh tên miền. Ở đây chúng tôi lấy DNSPOD làm ví dụ. Bạn có thể tìm thấy API bằng cách vào trung tâm người dùng.
Nhấp để tạo API mới.
Cuối cùng, bạn có thể sao chép ID và Khóa API.
2.3 Cấp chứng chỉ tên miền Let’s Encrypt
DNSPod được sử dụng làm minh họa tại đây. Nếu bạn đang sử dụng DNS khác, vui lòng tham khảo phần phụ lục bên dưới bài viết này. Các lệnh của các DNS khác nhau là khác nhau. Thực hiện các lệnh sau để lưu API Key và ID của DNSPOD.
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
DP_Id và DP_Key này được lưu trong ~/.acme.sh/account.conf. Thực hiện lệnh sau để cấp chứng chỉ tên miền Let’s Encrypt:
acme.sh --issue --dns dns_dp -d wzfou.com -d *.wzfou.com
#默认签发的是RSA,如果你想签发ECC证书,请使用以下命令
acme.sh --issue --dns dns_dp -d wzfou.com -d *.wzfou.com --keylength ec-256
#可选长度有:
ec-256 (prime256v1, “ECDSA P-256”)
ec-384 (secp384r1, “ECDSA P-384”)
Toàn bộ quá trình cấp phát rất nhanh chóng. Sau khi hoàn thành, bạn có thể tạo đường dẫn chứng chỉ SSL.
Bây giờ hãy mở đường dẫn chứng chỉ. Fullchain.cer là chứng chỉ tên miền đã hoàn thành và wzfou.com.key là Key. Bạn chỉ cần tải xuống hai tệp này để kích hoạt chứng chỉ SSL Let's Encrypt.
3. Let’s Encrypt cài đặt chứng chỉ SSL
Trên thực tế, tất cả các bảng điều khiển máy chủ VPS phổ biến hiện nay đều hỗ trợ chứng chỉ SSL tùy chỉnh hoặc ứng dụng chỉ bằng một cú nhấp chuột và cài đặt chứng chỉ SSL Let’s Encrypt, chẳng hạn như BT.cn chùa Panel, OneinStack, LNMP, WDCP, AppNode Panel, v.v. Để biết thêm các phương pháp cài đặt, vui lòng tham khảo: Danh sách Bảng điều khiển máy chủ.
4. Phụ lục: Nhận và cấp SSL bằng các API DNS chính
Minh họa:
- Phụ lục tham khảo từ: https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md
- Tóm tắt dịch vụ phân giải DNS: https://wzfou.com/mianfei-dns/
- Khi cấp SSL toàn miền, vui lòng thay đổi phần lệnh:
-d www.example.comthành:-d *.example.com
4.1 API DNS của CloudFlare
Trước tiên, bạn cần đăng nhập vào tài khoản CloudFlare để lấy khóa API.
export CF_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export CF_Email="xxxx@sss.com"
Được rồi, hãy cấp chứng chỉ ngay bây giờ:
acme.sh --issue --dns dns_cf -d example.com -d www.example.com
CF_Key và CF_Email sẽ được lưu trong ~/.acme.sh/account.conf và sẽ được sử dụng lại khi cần.
Trước tiên, bạn cần đăng nhập vào tài khoản DNSPod để lấy Khóa API và ID.
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
Được rồi, hãy cấp chứng chỉ ngay bây giờ:
acme.sh --issue --dns dns_dp -d example.com -d www.example.com
DP_Id và DP_Key sẽ được lưu trong ~/.acme.sh/account.conf và sẽ được sử dụng lại khi cần.
4.3 API DNS CloudXNS
Trước tiên, bạn cần đăng nhập vào tài khoản CloudXNS để lấy Khóa API và Bí mật.
export CX_Key="1234"
export CX_Secret="sADDsdasdgdsf"
Được rồi, hãy cấp chứng chỉ ngay bây giờ:
acme.sh --issue --dns dns_cx -d example.com -d www.example.com
CX_Key và CX_Secret sẽ được lưu trong ~/.acme.sh/account.conf và sẽ được sử dụng lại khi cần.
4.4 API DNS Aliyun của đám mây Alibaba
Trước tiên, bạn cần đăng nhập vào tài khoản Alibaba Cloud Aliyun của mình để lấy khóa API https://ak-console.aliyun.com/#/accesskey.
export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
Được rồi, hãy cấp chứng chỉ ngay bây giờ:
acme.sh --issue --dns dns_ali -d example.com -d www.example.com
Ali_Key và Ali_Secret sẽ được lưu trong ~/.acme.sh/account.conf và sẽ được sử dụng lại khi cần.
4.5 API DNS của GoDaddy
Trước tiên, bạn cần đăng nhập vào tài khoản GoDaddy của mình để lấy Khóa API và Bí mật https://developer.godaddy.com/keys/.
Vui lòng tạo khóa Sản xuất thay vì khóa Kiểm tra.
export GD_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export GD_Secret="asdfsdafdsfdsfdsfdsfdsafd"
Được rồi, hãy cấp chứng chỉ ngay bây giờ:
acme.sh --issue --dns dns_gd -d example.com -d www.example.com
GD_Key và GD_Secret sẽ được lưu trong ~/.acme.sh/account.conf và sẽ được sử dụng lại khi cần.
4.6 API DNS PowerDNS
Trước tiên, bạn cần đăng nhập vào tài khoản PowerDNS của mình để kích hoạt API và đặt Mã thông báo API của bạn trong cấu hình https://doc.powerdns.com/md/httpapi/README/.
export PDNS_Url="http://ns.example.com:8081"
export PDNS_ServerId="localhost"
export PDNS_Token="0123456789ABCDEF"
export PDNS_Ttl=60
Được rồi, hãy cấp chứng chỉ ngay bây giờ:
acme.sh --issue --dns dns_pdns -d example.com -d www.example.com
PDNS_Url, PDNS_ServerId, PDNS_Token và PDNS_Ttl sẽ được lưu trong ~/.acme.sh/account.conf và sẽ được sử dụng lại khi cần thiết.
4.7 API DNS của Amazon Route53
Xem phương pháp: https://github.com/Neilpang/acme.sh/wiki/How-to-use-Amazon-Route53-API
export AWS_ACCESS_KEY_ID=XXXXXXXXXX
export AWS_SECRET_ACCESS_KEY=XXXXXXXXXXXXXXX
Để cấp chứng chỉ:
acme.sh --issue --dns dns_aws -d example.com -d www.example.com
AWS_ACCESS_KEY_ID và AWS_SECRET_ACCESS_KEY sẽ được lưu trong ~/.acme.sh/account.conf và sẽ được sử dụng lại khi cần.
4.8 API DNS Linode
Trước tiên, bạn cần đăng nhập vào tài khoản Linode của mình để lấy Khóa API.
Sau đó thêm khóa API có nhãn ACME và sao chép khóa mới.
export LINODE_API_KEY="..."
Do thời gian tải lại của bất kỳ thay đổi nào trong bản ghi DNS, chúng tôi phải sử dụng tùy chọn dnssleep để đợi ít nhất 15 phút để các thay đổi có hiệu lực.
Được rồi, hãy cấp chứng chỉ ngay bây giờ:
acme.sh --issue --dns dns_linode --dnssleep 900 -d example.com -d www.example.com
LINODE_API_KEY sẽ được lưu trong ~/.acme.sh/account.conf và sẽ được sử dụng lại khi cần.
4.9 API DNS DigitalOcean (bản địa)
Bạn cần lấy khóa API có khả năng đọc và ghi từ tài khoản DigitalOcean của mình. Xem: https://www.digitalocean.com/help/api/.
export DO_API_KEY="75310dc4ca779ac39a19f6355db573b49ce92ae126553ebd61ac3a3ae34834cc"
Được rồi, hãy cấp chứng chỉ ngay bây giờ:
acme.sh --issue --dns dns_dgon -d example.com -d www.example.com
Bạn sẽ cần tạo khóa API tại https://www.namesilo.com/account_api.php. Tùy chọn, bạn có thể hạn chế quyền truy cập vào dải IP ở đó.
export Namesilo_Key="xxxxxxxxxxxxxxxxxxxxxxxx"
Và bây giờ bạn có thể cấp chứng chỉ với:
acme.sh --issue --dns dns_namesilo --dnssleep 900 -d example.com -d www.example.com
Nếu API của bạn chưa được hỗ trợ, bạn có thể viết API DNS của riêng mình.
Giả sử bạn muốn đặt tên nó là ‘myapi’:
- Tạo tập lệnh bash có tên
~/.acme.sh/dns_myapi.sh, - Trong tập lệnh, bạn phải có một hàm có tên
dns_myapi_add()sẽ được acme.sh gọi để thêm bản ghi DNS. - Sau đó, bạn có thể sử dụng API của mình để cấp chứng chỉ như thế này:
acme.sh --issue --dns dns_myapi -d example.com -d www.example.com
5. Tóm tắt
Ứng dụng và cài đặt chứng chỉ SSL tên miền miễn phí Let's Encrypt Wildcard tương đối đơn giản. Hiện tại chúng ta có thể đăng ký SSL tên miền Let's Encrypt thông qua các tập lệnh. Tôi tin rằng tất cả các bảng điều khiển máy chủ VPS chính sẽ sớm có ứng dụng chỉ bằng một cú nhấp chuột và cài đặt pan-domain. Chứng chỉ SSL.
Chứng chỉ SSL toàn miền miễn phí của Let's Encrypt Wildcard yêu cầu xác minh DNS. Phần phụ lục đã liệt kê các API phân giải tên miền DNS chính và các lệnh cấp chứng chỉ SSL. Bạn có thể tham khảo chúng nếu bạn đang cấp chứng chỉ SSL toàn miền, vui lòng thay thế. www Chỉ cần nhập số *.