SSL 证书是实现 https 加密协议访问所必须的,当下签发 SSL 证书的地方很多,鱼龙混杂。下面介绍我目前在用的签发证书方法:
letsencrypt 证书
众所周知,letsencrypt 证书是最广泛的免费 SSL 证书。特点如下:
- 免费(核心优势)
- 仅支持单域名
- 证书有效期 3个月
- 需要不断续期
- 提供有一键签发证书及续期的脚本
这里介绍下在 Debian 系统安装使用 certbot,实现 letsencrypt 证书签发及自动续期。
# 安装certbot
apt install certbot python3-certbot-nginx
# 生成证书,需要先将域名解析到当前服务器
# →输入自己的邮箱→选择A→选择Y→选择要生成的域名,多个域名用 "," 分割→选择 2
# SSL证书目录:/ect/letsencrypt/live
certbot --nginx
# 自动更新,如定时每月1.3更新
crontab -e
0 3 1 * * certbot renew --force-renew
廉价泛域名证书
萌咖提供的泛域名证书,价格相当便宜(¥30元)。用过几个,感觉挺香的。
- 廉价
- 泛域名
- 有效期 1年
- 不支持自动续期,需要重新购买
- 签发过程有点繁琐
- 客服专业耐心,有问题都能帮忙搞定
购买地址:https://shop.moeclub.org/cart.php?aff=456
购买成功后,参考教程签发激活:https://github.com/MoeClub/AlphaSSL
签发时的注意事项:
- 在线生成CSR文件时,输入框需要在域名前加 *. 前缀,如 *.baidu.com,不能只填域名 baidu.com(这样签发的是单域名)
- 优先使用内置API模式,如果必须用admin@域名邮箱接收,记得提交csr前保证admin邮箱可以正常接收邮件,同时保证域名的CAA解析记录已暂停(cloudflare的CAA解析无法清除,可以更换其他DNS)
- 申请成功后,制作的cert证书需要补全证书链(如果不补全,有些场景无法识别证书),教程里有补全证书链的内容
