Let's Encrypt 宣布支持通配符证书,所有子域名可轻松开启 HTTPS

来自:开源中国

链接:oschina.net/news/94188/acme-v2-and-wildcard-certificate-support-is-live

Let's Encrypt 宣布 ACME v2 正式支持通配符证书。Let's Encrypt 宣称将继续清除 Web 上采用 HTTPS 的障碍,让每个网站轻松获取管理证书。

v2 vs v1

ACME v2 与 v1 API 有许多不同之处,值得注意的变更:

授权/签发流程已改变

JWS 请求授权以改变

JWS 请求体的"resource"字段被新的 JWS 请求头“url”替换

目录端点/资源重命名

ACMEv 是 ACME 协议的更新版本,考虑到行业专家和其他组织可能希望在某天使用 ACME 协议进行证书颁发和管理,它已经通过 IETF 标准流程。

通配符证书 允许使用单个证书来保护域的所有子域。在某些情况下,通配符证书可以使证书更容易管理,以帮助使 Web 达到 100% 的 HTTPS 协议。但是对于大多数用例,Let's Encrypt 仍然推荐使用非通配符证书。

通配符证书只能通过 ACMEv2 获得。为了将 ACMEv2 用于通配符或非通配符证书,你需要一个已更新且支持 ACMEv 的客户端。Let's Encrypt 希望所有客户和订户转换为 ACMEv2,尽管 ACMEv1 API 还没有“报废”。

另外,通配符域必须使用 DNS-01 质询类型进行验证。这表明你需要修改 DNS TXT 记录才能演示对域的控制以获得通配符证书。

更多有关 ACME v2 和通配符证书的技术信息,请参阅此文章:

https://community.letsencrypt.org/t/acme-v2-production-envrionment-wildcards/55578

通配符证书解释

域名通配符证书类似 DNS 解析的泛域名概念,主域名签发的通配符证书可以在所有子域名中使用。

通配符证书的优势

域名通配符证书最大的特点就是申请之后可以部署在子域名使用, 因此对于子域名,没有必要再次申请新的证书。

而价格方面,通配符域名证书通常会比单域名证书高几倍, 不过价格高的主要原因自然是使用的便利性。

新闻一出,马上就有小伙伴解锁了 Let's Encrypt 通配符 HTTPS 证书的申请方式,并分享了出来:

申请 Let's Encrypt 通配符 HTTPS 证书

链接:https://my.oschina.net/kimver/blog/1634575#comment-list

作者:飞奔的萝卜

博客经授权发布,转载请注明来源

Let's Encrypt 发布的 ACME v2 现已正式支持通配符证书,接下来将为大家介绍怎样申请,Let's go.

:本教程是在centos 7下操作的,其他Linux系统大同小异。

1.获取certbot-auto

2.开始申请证书

# 注xxx.com请根据自己的域名自行更改

./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory -d "*.xxx.com" --manual --preferred-challenges dns-01 certonly

执行完这一步之后,会下载一些需要的依赖,稍等片刻之后,会提示输入邮箱,随便输入都行

到了这一步后,大功告成!!! 证书存放在/etc/letsencrypt/live/xxx.com/里面

要续期的话,执行certbot-auto renew就可以了

下面是一个nginx应用该证书的一个例子

●编号494,输入编号直达本文

●输入m获取到文章目录

推荐↓↓↓

黑客技术与网络安全

更多推荐《18个技术类公众微信》

涵盖:程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、.NET、Linux、数据库、运维等。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180319B0K85200?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券