Let’s Encrypt 在上年已经推出全网域通用凭证 (Wildcard Certificate), 也就是一张凭证可以让网域下所有子网域通用, 所有子网域也可以使用同一张凭证。原本的网域下每个子网域都会产生一个新的凭证, 但如果网址较多管理也较麻烦, 以下纪录一下申请 Let’s Encrypt Wildcard 凭证的方法。
网络上有很多申请 Let’s Encrypt 凭证的工具, 以下会使用 Certbot, 先执行以下指令安装 Certbot:
-
# wget https://www.eff.org/certbot-auto
# chmod +x ./certbot-auto
# ./certbot-auto
现在可以用 Certbot 申请 Wildcard 凭证, 以下用 mydomain.com 作为例子:
-
# ./certbot-auto certonly –manual \
–preferred-challenges=dns \
–server https://acme-v02.api.letsencrypt.org/directory \
–d mydomain.com -d *.mydomain.com
然后跟着指示输入电子邮件及回答一些问题.
最后会 Certbot 会显示一个 TXT Record, 需要将这个 TXT Record 加入网域的 DNS Server, 以验证网址的拥有权, 类似以下内容:
Please deploy a DNS TXT record under the name
_acme-challenge.mydomain.com with the following value:
_acme-challenge.mydomain.com with the following value:
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
将那一行很长的 TXT Record 加入 DNS Server, 完成后回到 Certbot 按 “Enter” 键.
如果一切正常, 那时 Wildcard 凭证便申请成功了。