关于诸如“让我们加密”这样的组织的一切都已经掌握了。 现在有一段时间,您可以在那里获得通配符证书。 在这篇简短的笔记中,我将描述我遇到的几个不太明显的时刻。
1.通配符证书只能通过DNS插件获得:
以这种方式进行域验证是从Let's Encrypt获取通配符证书的唯一方法。
即 我们的选项是DNS插件之一,或者是手册+ Preferred-challenges = dns-01。
更多细节
在这里 。
DNS插件的使用在上面链接的文档中有详细描述。
使用手动模式时,您将需要在DNS中手动添加TXT记录。 每次,该条目都会有所不同,即 在这种情况下,只能通过certbot挂钩自动更新证书。 顺便说一下,在同一位置,您可以挂起命令,例如,重新启动nginx。
2.您需要使用具有API v.2的服务器:
https:
可能在certbot的未来版本中,默认情况下将过渡到使用API v.2,但现在这样。
我正在使用docker运行certbot。 很方便 因此,获取证书的命令如下:
docker run -it --rm \ -v /docker/volumes/etc/letsencrypt:/etc/letsencrypt \ -v /docker/volumes/var/lib/letsencrypt:/var/lib/letsencrypt \ -v /docker/volumes/var/log/letsencrypt:/var/log/letsencrypt \ certbot/certbot \ certonly --manual \ --preferred-challenges dns-01 \ --server https://acme-v02.api.letsencrypt.org/directory \ --register-unsafely-without-email --agree-tos \ --manual-public-ip-logging-ok \ -d example.com -d *.example.com
certbot的结果将在/ docker / volumes /中可用,可将它们连接到其他容器。
请注意键“ manual-public-ip-logging-ok”-如果未指定,则在启动时会出现以下问题:
注意:本机的IP将以请求此地址的方式公开记录
证书。 如果您正在非手动计算机上以手动模式运行certbot
您的服务器,请确保您可以。
您可以记录IP吗?
据我了解,虽然这些地址在任何地方都无法访问(但可以登录),但它们的发布在不久的将来。 我个人认为这是一个奇怪的政策。