Let's encrypt 通配域名(二级, 三级)

最新推荐文章于 2025-05-31 11:53:58 发布
转载 最新推荐文章于 2025-05-31 11:53:58 发布 · 2.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
原文链接:https://segmentfault.com/a/1190000014727668
文章标签:

#运维

本文介绍了如何使用Let's Encrypt为二级和三级域名申请通配符证书,包括手动验证DNS TXT记录、使用API接口、安装certbot命令行工具以及申请流程和注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概述

Let's encrypt 申请通配域名的方式如下:

certbot certonly --manual \
-d '*.exampple.com' \
--agree-tos \
--email domain@example.com \
--server https://acme-v02.api.letsencrypt.org/directory

上面是通配的子域名, 只能是 a.example.com形式, 不能是 a.b.example.com 形式. 要使用更下级的子域有几个要点:

  • 通配域名必须使用--manual参数, --webroot等其他参数是互斥的,不能同时使用.
    --manual表示通过DNS的TXT记录进行验证, --webroot通过Web服务器的访问进行验证.
  • 需要在DNS中添加 b.example.com 的A记录, 这样在 Let's encrypt 发起挑战的时候才能解析到这个域名.

  • 需要添加TXT记录 _acme-challenge.b.example.com
    设置了TXT记录后先别急着回车. 先手工验证一下TXT记录有咩有生效

    dig -t txt _acme-challenge.b.example.com

两个API接口

上面一个是正式的. 签发的证书是浏览器信任的, 下面一个仅用于测试. 我们可以看到它的名字是Fake LE Root X1

Fake 的意思自己百度.

clipboard.png

安装certbot命令行

进入 https://certbot.eff.org/, 选择你的系统, 页面会自动输出对应的各种系统的安装方式.

clipboard.png

Ubuntu 16.04 的安装命令如下:

$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install certbot

流水账

1.创建 b.example.com 的A记录
2.执行命令申请通配域名(三级域名)

certbot certonly --manual \
-d '*.b.exampple.com' \
--agree-tos \
--email domain@example.com \
--server https://acme-v02.api.letsencrypt.org/directory

3.输入两次Y, 确认了两次, 终端输出如下形式的东西, 别敲回车

_acme-challenge.b.example.com with the following value:

ZaUsqkBE109SZMDZheM3UUXA-iw6dukTsixXoG_QrSE

4.创建TXT记录
5.验证TXT记录是否生效

dig -t txt _acme-challenge.b.example.com

6.TXT生效后敲回车进行DNS的TXT验证

成功后

你会看到签发给你的证书的域名是这样的 *.b.example.com, 成功之后, 就可以随便添加你的三级域名了.

x.b.example.com
y.b.example.com
z.b.example.com

clipboard.png

注意事项

一定注意使用测试API接口先进行测试. Let's encrypt 失败次数过多会屏蔽你一段时间, 防止滥用.

结语

总的来说, 通配域名减少了为不同的子域名申请不同证书的麻烦. 同时申请过程也比配置Web服务器的验证方式要简单. 只需要修改DNS相关的解析记录就可以了. 比以前方便了不少.

Let‘s Encrypt域名验证过程详解——Let‘s Encrypt免费证书申请过程
AI天才研究院
08-28 1419
作者:禅与计算机程序设计艺术 1.简介 概要 Let's Encrypt是一个开放源代码的公共(非盈利)、自动化证书颁发机构(Certificate Authority)。该机构为互联网上的网站提供免费的SSL/TLS证书,其认证服务由一系列的ACME协议所定义
【HTTPS】免费SSL证书置Let‘s Encrypt自动续期
Hello, New World!
04-15 801
若需修改续期频率,需编辑 Snap 定时器的置(需过 Snap 命令或修改系统级定时器文件),但默认置已足够安全(证书到期前 30 天内才会实际续期)。每 12 小时(即每天的 0 点和 12 点)执行一次 certbot renew 命令,–quiet 选项用于在执行时不输出过多信息。:服务器B修改相应的nginx ssl证书置即可,参考服务器A。:拷贝服务器A上生成的文件到服务器B,并设置相应的权限和软连接。我在服务器B还需要拷贝证书,用于 prod 的域名。验证来申请泛域名证书。
使用letsencrypt置nginx二级域名HTTPS证书
小猪佩奇工作室
02-22 1050
首先你得会letsencrypt的一级域名,不会的话可以先去letsencrypt官网按照它提供的certbot工具(个人推荐用这个,另一个ACME我也没试,感兴趣可以试一下)教程置一下,很简单,相信你照着做不出半小时就能置完成。 然后呢用了一段时间,你发现一个域名和证书不够用了,想使用二级域名(有一级域名你也就有二级域名)申请一下证书,那么接下来就是重点,分为两步 首先,你去nginx里置新增一个 server块 例如 server{ server_name test1
使用 Let‘s Encrypt 和 Certbot 为 Cloudflare 托管的域名申请 SSL 证书
最新发布
轩辕霸天L
05-31 1402
在你的服务器上安装 Certbot 和 Cloudflare 插件。的 DNS 记录已经正确置在 Cloudflare 中,并且状态为。,确保网站能够过 HTTPS 正常访问,并且没有证书错误。找到你的 Nginx 置文件,常位于。如果 DNS 验证失败,可以尝试增加。例如,你的置文件可能是。在文件中添加以下内容(替换。
[二级域名映射端口][Ngins端口映射]腾讯云二级域名映射端口--续--Let's Encrypt
fox3012的博客
02-24 1118
上一节置了nginx代理二级域名;这里我们讲讲深层次运用 如下场景: 注册好的域名:kaixin.com 现在有 1.http://130.111.122.12:8081 2.https://130.111.122.12:8443 需要在小程序中使用,这里就用到了nginx的反向代理了 目标: 1. http://130.111.122.12:8081绑定到 hh.kaixin.com 2. h...
ubuntu nginx使用 let‘s encrypt域名置https
roy8666的博客
04-17 430
提示输入enter时需要按enter才能继续,按ctrl+则c终止继续。
Let's Encrypt 置泛域名用证书
天行++的JAVA空间
12-08 902
申请符证书,只能使用 dns验证的方式,下面开始申请 获取certbot 客户端 # 下载 Certbot 客户端 $ wget -c https://dl.eff.org/certbot-auto -P /usr/local/bin/ # 设为可执行权限 $ chmod a+x /usr/local/bin/certbot-auto $ certbot-auto --version c...
letsencrypt申请泛域名证书,二级域名续约
CharmHeart的博客
02-20 1819
Let’s encrypt 提供期限为三个月的免费SSL证书,到期之后需要renew,官方还提供自动renew的工具certbot。 这里记录下使用Let’s Encrypt生成泛域名用证书。 一、获取certbot 客户端 # 下载 Certbot 客户端 $ wget -c https://dl.eff.org/certbot-auto -P /usr/local/bin/ # 设为可执行权限 $ chmod a+x /usr/local/bin/certbot-auto $ certbot-aut
Certbot申请Let‘s Encrypt 90天泛域名证书
m0_74031424的博客
10-09 1112
Certificate is saved at: /etc/letsencrypt/live/DomainName/fullchain.pem (这是证书的和密钥,后缀即为.pem 改名示例:mv fullchain.pem DomainName.pem)/etc/letsencrypt/live/DomainName/privkey.pem (这是pem格式的密钥,后缀即为.key 改名示例:mv privkey.pem DomainName.key)#命令输入后会看到一下内容。
Let‘s Encrypt域名使用和Nginx置拆分
IT王小二的博客
08-19 1630
上一期写了 使用Let’s Encrypt实现网站https化 ,随着二级域名的增多,每个二级域名需要一张 SSL 证书,这可太不优雅了,泛域名表示我可以更优雅。 作者:IT王小二 博客:https://itwxe.com 本来 Let’s Encrypt域名使用、Nginx 置拆分是准备分成两篇文章来写的,可是两篇文章又感觉篇幅过短和冗余。 所以最后决定写在一篇里面吧,同时把整个流程写明白,之前有人问有了证书怎么搭 Nginx 来置,这篇从域名映射到Nginx置完成的保姆级教程,小二求个
letsencrypt申请免费的Https证书以及绑定域名
weixin_43749213的博客
12-08 457
letsencrypt网站: 点击跳转letsencrypt 注册账号登录以后进入首页 点击申请证书 输入自己的域名点击申请证书
阿里域名申请 ​ Let‘s Encrypt SSL 证书
ZCF1024 的后宫
05-17 2604
阿里域名申请 ​ Let‘s Encrypt SSL 证书
申请Let‘s Encrypt符HTTPS证书
hwadong的博客
03-13 776
这里需要特别说明一下,如果是宝塔建立网站“选择加密算法”用ECC,如果是群晖用,请选RSA。一、打开这个链接来到官网,点“立即开始”,用邮箱注册一个你自己的账号(注册过程省略);八、需要注意的是,记录类型这里选TXT,输入上面提示的主机记录和记录值,确定保存;三、输入你的域名,我们要申请泛域名证书,所以在“泛域名”和“包含根域”打勾;十、系统提示需要等待5分钟左右,这里只需要等待就行,所以后面的过程就忽略了;二、用刚才注册的账号登录,点“申请证书”;六、按照图上的提示,去你的域名后台添加;
快速置Let‘s encrypt符证书
第一天
09-20 1712
利用certbot工具置Let’s encrypt符证书,所域名下所有的子域名都能方便的使用 https证书,而且完全免费。值得关注的是,Let’s encrypt符证书只是针对二级域名,并不能针对主域名,如*.hubinqiang.com和hubinqiang.com 被认为是两个域名,如果和我一样使用的是主域名,在申请的时候需要注意都要申请。 置环境 操作系统:Ubuntu16.0...
使用Let’s Encrypt为自己的子域名证书
madonghyu的博客
01-02 4524
使用Let’s Encrypt为自己的子域名证书
Let‘s encryt生成免费证书
FlyingKiss007的博客
04-26 308
Let's encrypt免费证书
最新版 Let’s Encrypt免费证书申请步骤,保姆级教程
热门推荐
了迹奇有没
12-05 1万+
最近将域名迁到了google domain,就研究了一下Let’s Encrypt域名证书置。发现网上找到的教程在官方说明中已经废弃,所以自己写一个流程记录一下。
Let‘s Encrypt certbot 多域名免费 https 证书实录(linux pip)
Just do IT
09-01 2917
linux 华为云 EulerOS 云主机使用 pip 方式安装letsencrypt certbot, 并为多个域名生成免费 https 证书实录, 包括 python 环境置, 下载 certbot 及 certbot-nginx, 生成证书及置 certbot 周期性自动更新证书, 包含使用的全部命令, 每一步的操作截图及命令行输出
申请免费符证书(Let's Encrypt)并绑定IIS
Giant的工作回忆录
05-29 4532
什么是 Let’s Encrypt?部署 HTTPS 网站的时候需要证书,证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 HTTPS 协议的使用。Let’s Encrypt 也是一个 CA 机构,但这个 CA 机构是免费的!!!也就是说签发证书不需要任何费用。什么是符证书在没有出现符证书之前,Let’s Encrypt 支持两种证书。1)单域名证书:证书仅...
let’s encrypt windows
12-31
### 使用 Let's Encrypt 获取并安装 SSL 证书 对于 Windows 用户来说,虽然官方推荐的方式是在 Linux 环境下使用 Certbot 来获取和管理 Let’s Encrypt 的 SSL 证书,但这并不意味着无法在 Windows 上完成相同的操作。一种常见的做法是利用 WSL (Windows Subsystem for Linux),它允许用户在一个轻量级的 Linux 环境中运行命令行工具。 #### 方法一:过 WSL 安装 Certbot 并申请证书 1. **启用 WSL** 如果尚未安装 WSL,则需先开启此功能,并选择一个合适的 Linux 发行版进行安装[^1]。 2. **安装 Certbot 及其插件** 打开已安装好的 Linux 终端窗口,在其中执行如下命令以安装 Certbot 和必要的插件: ```bash sudo apt update && sudo apt install certbot python3-certbot-nginx -y ``` 3. **请求新证书** 接下来可以按照需求指定参数调用 `certbot` 命令来创建新的证书文件: ```bash sudo certbot certonly --manual --preferred-challenges dns -d example.com -d *.example.com ``` 这里 `-d` 后面跟的是要保护的具体域名域名;如果采用 DNS 验证方式则加上 `--preferred-challenges dns` 参数[^2]。 4. **置 Web 服务器** 将获得的新证书放置到适当位置后,还需要修改 Nginx 或 Apache 等 web server 的置文件以便支持 HTTPS 协议访问。具体操作取决于所使用的服务器软件版本以及个人偏好设置。 5. **设置自动续期机制** 创建定时任务用于每月检查一次即将过期的证书并尝试重新签发它们。可以在 crontab 中加入类似下面这样的条目: ```bash 0 0,12 * * * root test -e /etc/letsencrypt/renewal/example.com.conf && /usr/bin/certbot renew --quiet ``` 6. **重启服务使更改生效** 7. **验证部署成功与否** 测试网页能否正常加载并过浏览器查看连接状态确认是否启用了加密传输。 #### 方法二:借助第三方图形界面客户端 除了上述基于命令行的方法外,还有专门为 Windows 设计的一些 GUI 工具可以帮助更简便地处理整个流程,比如 Win-Acme 软件就是一个不错的选择。这类应用程序常提供了更加直观易懂的操作界面,降低了技术门槛的同时也提高了工作效率[^3]。 ```powershell # PowerShell 示例脚本(仅作示意) Install-Package win-acme.portable -Source https://chocolatey.org/api/v2/ & "C:\Program Files\win-acme\v2.1.9.0\wacs.exe" ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值