为什么不使用阿里云/腾讯云等公有云厂商提供的免费证书?


上篇介绍了从阿里云上面申请免费证书,有效期一年 为网站配置https证书

公有云提供的证书不支持通配符,只支持某个确定的解析。 不管是二级域名还是三级域名,只要是具体的确定的地址,都可以使用。

对于某个域名,如果DNS解析很少,如只有mail.abc.com,www.abc.com,blog.abc.com, 用公有云需要分别为其申请3个证书。

所以如果目前的域名解析不是太多,每年操作一次,也还可以。(注:据说现在有效期降为了三个月)

但很多场景下,公司业务很多,某个域名的A记录不可能只有这三两个,如qq.com, 可能下面有www.qq.com,qzone.qq.com, mail.qq.com,weixin.qq.com....等成百上千个

这时候就需要用到通配符证书,而公有云厂商大多并不支持申请免费的通配符证书,往往需要氪金


关于 通配符域名证书


通配符域名证书是什么? 和普通的证书比有什么区别?


通配符域名证书是一种用于保护多个子域名的 SSL/TLS 证书。它使用通配符字符(通常是星号 *)来表示一个或多个子域名的部分或全部。例如,一个通配符域名证书可以覆盖 *.example.com,这意味着它可以保护诸如mail.example.com、blog.example.com和www.example.com等子域名。

与普通的证书相比,通配符域名证书具有以下区别:

  1. 覆盖多个子域名:通配符域名证书可以覆盖一个顶级域名下的多个子域名,而普通证书只能保护一个具体的域名。
  2. 灵活性和便利性:使用通配符域名证书可以简化证书管理过程。相比为每个子域名单独购买和配置证书,只需使用一个通配符证书即可涵盖所有需要保护的子域名。

需要注意的是,通配符域名证书只能覆盖一个级别的子域名。例如,*.example.com 可以保护 mail.example.com、blog.example.com,但无法保护 mail.server.example.com。如果需要保护多级子域名,可能需要考虑使用泛域名证书(Wildcard Certificate)。

【技术种草】如何免费申请通配SSL证书

通配符域名证书都支持哪些域名?

再次确认,阿里云的通配符域名需要收费!

即 **多次申请过免费SSL证书,(当时)有效期一年,看起来只能针对单个具体地址。

没觉得这玩意多复杂,有收费的通配符域名,只要氪金,以为整个域名,不管三级四级五级,申请一个证书就可以。

即便使用通配符证书,也只能作用于某一级的,比如想要 *.qq.com一个证书涵盖这个域名下所有二级,三级,四级域名,是做不到的(可能是出于安全目的故意这样规定?),只能覆盖全部xxx.qq.com,而对yyy.xxx.qq.com起不到作用


Let’s Encrypt


前面说到公有云一般不提供免费的通配符证书,但还是有一些赛博菩萨,提供这样的免费服务。其中Let’s Encrypt是最知名的之一,甚至有人认为,https的推广普及,其功不可没。

Let's Encrypt 通过免费、自动化的方式推动了网站的加密普及,提供了简单、安全和可靠的 SSL/TLS 证书解决方案,为用户提供更安全的网络体验。


Let’s Encrypt 是什么?有何作用?

Let's Encrypt 是一个免费、自动化的证书颁发机构(Certificate Authority,简称 CA),旨在为网站提供免费的 SSL/TLS 证书。它于2015年成立,由 Electronic Frontier Foundation(EFF)、Mozilla Foundation、University of Michigan 等组织共同支持。

Let's Encrypt 的目标是通过简化证书颁发流程,推动整个互联网的加密普及。传统的 SSL/TLS 证书需要手动申请、验证身份、付费并进行周期性续签,这给网站管理员带来了一定的复杂性和成本。而 Let's Encrypt 采用了自动化的证书颁发流程,可以方便快速地获取和更新证书。


Let's Encrypt 的作用包括:

  1. 提供免费的 SSL/TLS 证书:Let's Encrypt 提供了免费的数字证书,使得网站管理员可以轻松地为其网站启用加密连接,实现安全传输和数据保护。
  2. 促进网站加密普及:由于免费且易于使用,Let's Encrypt 在推动整个互联网的加密普及方面发挥了重要作用。更多的网站采用 SSL/TLS 加密可以提升用户隐私和数据安全,减少网络攻击和信息泄漏的风险。
  3. 自动化证书管理:Let's Encrypt 提供了一套自动化的证书颁发流程和工具,使得证书的申请、验证和更新变得简单和便捷。通过使用 Let's Encrypt 提供的 ACME 协议,可以实现证书的自动续签,减少了证书管理的负担。

申请及使用


参考 申请 Let's Encrypt 通配符 HTTPS 证书

根据不同系统,安装certbot

brew install certbot

或者

sudo apt-get install certbot

Certbot是一个由Let's Encrypt官方提供的免费开源的工具,它可以帮助用户自动化地获得、续期和部署SSL/TLS证书。 Certbot支持多种Web服务器,包括Apache、Nginx、Caddy等,用户可以使用Certbot来自动化地安装和配置SSL/TLS证书,以提高网站的安全性。


certbot -d n.dashen.tech(你要申请的证书,其实这里完全可以写*.dashen.tech) --manual --config-dir config --work-dir work --logs-dir logs --preferred-challenges dns certonly

其中,

  • --manual:指定使用手动方式进行域名验证。这意味着 certbot 将会提示用户手动添加 DNS TXT 记录或 HTTP 文件来验证域名所有权。这通常需要一定的技术知识和操作技巧。
  • --config-dir config:指定 certbot 的配置文件目录为 config。在该目录下,certbot 将会保存证书和其他配置信息。
  • --work-dir work:指定 certbot 的工作目录为 work。在该目录下,certbot 将会生成临时文件和其他工作文件。
  • --logs-dir logs:指定 certbot 的日志文件目录为 logs。在该目录下,certbot 将会保存运行日志和其他信息。
  • --preferred-challenges dns:指定首选的验证方式为 DNS 验证。这意味着 certbot 将会使用 DNS TXT 记录来验证域名所有权。
  • certonly 参数表示只获取证书,而不进行证书安装。如果要同时获取证书和安装证书,可以使用 run 命令代替 certonly 命令。


按提示来即可~

中间需要去域名注册商管理后台,在你的域名下增加一条TXT解析,做验证用,证明这域名属于你---一般有两种验证方式(称为Challenge),HTTP方式和DNS方式,增加TXT属于DNS方式。

(其实还有一种TLS-SNI-01的验证方式,目前用的不多,更多可参考 [验证方式
](https://letsencrypt.org/zh-cn/docs/challenge-types/))


再修改一下nginx配置,之后 ./nginx -s reload

(如果使用K8s,则创建新的secret,并编辑相应的ingress)


其实还有一个和Let's Encrypt 差不多的,叫TrustAsia,也有些知名度

6家免费的SSL证书服务商

SSL证书系列--Let’s Encrypt和TrustAsia哪个好?

从 Let's Encrypt 证书换成TrustAsia 证书的操作过程及注意事项


续期


Let's Encrypt证书有效期只有90天,需要注意续约。 在离到期时间还有不到30天时,就可以进行此操作。

一般可以使用certbot,并借助crontab自动续期..详情可参考下面两篇文章

(一般certbot最好就安装在这个网站的机器上,而不是在另外一台机器上申请到证书,再传上去,进行配置,这样不好自动化)

Let's Encrypt请求证书、续订与定时续订

Certbot对免费Let's Encrypt证书的续期

但为了稳妥起见,最好还是通过监控的方式,当证书有效期低于某个时间时,告警出来,再去手动或自动更新证书。



好文收藏
38 声望6 粉丝

好文收集