申请Let‘s Encrypt通配符HTTPS证书

Let's Encrypt 发布的 ACME v2 现已正式支持通配符证书，接下来将为大家介绍怎样申请，Let's go.

本教程是在centos 7下操作的，其他Linux系统大同小异。

更新了通过acme.sh方式获取证书的方法，墙裂推荐这种方法

1.获取acme.sh

curl https://get.acme.sh | sh

安装成功后

再执行以下指令：source ~/.bashrc

2.开始获取证书

acme.sh强大之处在于，可以自动配置DNS，不用去域名后台操作解析记录了，我的域名是在阿里注册的，下面给出阿里云解析的例子，其他地方注册的请参考这里自行修改：

请先前往阿里云后台获取App_Key跟App_Secret然后执行以下脚本

# 替换成从阿里云后台获取的密钥

export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"

export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"

# 换成自己的域名acme.sh --issue --dns dns_ali -d huaianmh.com -d *.huaianmh.com

这里是通过线程休眠120秒等待DNS生效的方式，所以至少需要等待两分钟

到了这一步大功告成，acme.sh比certbot的方式更加自动化，省去了手动去域名后台改DNS记录的步骤，而且不用依赖Python，墙裂推荐

第一次成功之后，acme.sh会记录下App_Key跟App_Secret，并且生成一个定时任务，每天凌晨0：00自动检测过期域名并且自动续期。对这种方式有顾虑的，请慎重，不过也可以自行删掉用户级的定时任务，并且清理掉~/.acme.sh文件夹就行

下面是一个nginx应用该证书的一个例子

server { server_name xxx.com;

    listen 443 http2 ssl;

    ssl on; ssl_

    certificate /etc/cert/xxx.cn/fullchain.pem;

    ssl_certificate_key /etc/cert/xxx.cn/privkey.pem;

    ssl_trusted_certificate /etc/cert/xxx.cn/chain.pem;

    location / { proxy_pass http://127.0.0.1:6666;

    }

}