如何申请Let’s Encrypt通配符HTTPS证书

引言

在当今互联网环境中，HTTPS已经成为网站安全的标准配置。Let’s Encrypt免费、自动化、开放的证书颁发机构（CA），为广大网站管理员提供了便捷的HTTPS证书申请途径。特别是其支持的通配符证书（Wildcard Certificate），可以为一个域名及其所有子域名提供HTTPS加密，极大地简化了证书管理流程。本文将详细介绍如何申请Let’s Encrypt通配符HTTPS证书。

1. 准备工作

在开始申请之前，确保你已经具备以下条件：

• 一个域名（例如：example.com）
• 对域名的DNS记录有管理权限
• 一台运行Linux的服务器
• 基本的命令行操作知识

2. 安装Certbot

Certbot是Let’s Encrypt官方推荐的客户端工具，用于自动化证书的申请和管理。首先，我们需要在服务器上安装Certbot。

2.1 更新系统包

sudo apt update
sudo apt upgrade

2.2 安装Certbot

sudo apt install certbot python3-certbot-nginx

如果你使用的是Apache服务器，可以安装python3-certbot-apache。

3. 申请通配符证书

通配符证书的申请需要使用DNS-01挑战验证，这意味着你需要通过添加DNS TXT记录来证明你对域名的控制权。

3.1 获取DNS API凭证

大多数DNS服务提供商都支持API访问，你需要获取API凭证以便Certbot自动添加DNS记录。以Cloudflare为例：

1. 登录Cloudflare控制台。
2. 进入“My Profile” -> “API Tokens”。
3. 点击“Create Token”，选择“Edit zone DNS”模板。
4. 选择你要管理的域名，生成API Token。

3.2 配置Certbot使用DNS插件

Certbot支持多种DNS插件，这里以Cloudflare为例：

sudo apt install python3-certbot-dns-cloudflare

3.3 创建API凭证文件

创建一个文件来存储你的API凭证：

sudo mkdir -p /etc/letsencrypt/secrets
sudo nano /etc/letsencrypt/secrets/cloudflare.ini

在文件中添加以下内容：

dns_cloudflare_email = your_email@example.com
dns_cloudflare_api_key = your_api_key

保存并退出。

3.4 申请证书

使用以下命令申请通配符证书：

sudo certbot certonly --dns-cloudflare --dns-cloudflare-credentials /etc/letsencrypt/secrets/cloudflare.ini -d example.com -d *.example.com

Certbot会自动完成DNS记录的添加和验证，并生成证书文件。

4. 配置Web服务器

证书申请成功后，需要配置Web服务器以使用新证书。

4.1 Nginx配置

编辑Nginx配置文件：

sudo nano /etc/nginx/sites-available/example.com

在server块中添加以下内容：

listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

保存并退出，然后重启Nginx：

sudo systemctl restart nginx

4.2 Apache配置

编辑Apache配置文件：

sudo nano /etc/apache2/sites-available/example.com.conf

在<VirtualHost>块中添加以下内容：

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

保存并退出，然后重启Apache：

sudo systemctl restart apache2

5. 自动续期

Let’s Encrypt证书的有效期为90天，因此需要定期续期。Certbot提供了自动续期功能。

5.1 测试自动续期

sudo certbot renew --dry-run

如果测试成功，Certbot将自动在证书到期前续期。

5.2 设置定时任务

编辑crontab：

sudo crontab -e

添加以下内容：

0 0 * * * /usr/bin/certbot renew --quiet

这将每天午夜检查并续期即将到期的证书。

6. 常见问题与解决方案

6.1 DNS验证失败

• 问题：DNS验证失败，通常是因为DNS记录未正确添加或未及时生效。
• 解决方案：检查DNS记录是否正确，并等待DNS传播完成。

6.2 证书续期失败

• 问题：证书续期失败，可能是由于DNS API凭证失效或配置错误。
• 解决方案：检查API凭证文件是否正确，并重新运行续期命令。

6.3 服务器配置错误

• 问题：服务器配置错误导致HTTPS无法正常工作。
• 解决方案：检查服务器配置文件，确保SSL证书路径正确，并重启服务器。

7. 总结

通过本文的指导，你应该已经成功申请并配置了Let’s Encrypt的通配符HTTPS证书。通配符证书不仅简化了证书管理流程，还提高了网站的安全性。定期检查和续期证书是确保网站持续安全运行的关键步骤。希望本文对你有所帮助，祝你顺利完成HTTPS配置！