請關注本頭條號，每天堅持更新原創乾貨技術文章。

如需學習視頻，請在微信搜索公眾號「智傳網優」直接開始自助視頻學習

1. 前言

本文主要講解如何申請和使用免費的Certbot SSL證書，包括單域名、通配符域名。

免費申請 ssl證書

2. 安裝Certbot組件

Certbot組件包含在EPEL (Extra Packages for Enterprise Linux)倉庫源里。必須先安裝EPEL和啟用EPEL源倉庫。

[root@zcwyou~]# yum -y install epel-release.noarch

安裝certbot組件

[root@zcwyou ~]# yum install certbot python2-certbot-apache

3. 設置DNS A記錄

在DNS 提供商面板上，設置DNS A記錄， 即把域名和Apache伺服器的公網IP映射起來。

4. 設置certbot

certbot有一個Apache插件，它支持很多平台，可以自動認證並安裝配置。

[root@zcwyou ~]# certbot --apache

運行這個命令獲取證書以及自動設置好Apache配置

如果你想手動設置證書，可以只申請下載證書。

[root@zcwyou ~]# certbot --apache certonly

然後自己修改Apache虛擬主機的配置，加入證書欄位和文件所在的路徑。

5. 申請免費ssl通配符證書(可選)

如果你想使用Let's Encrypt's new ACMEv2 server申請通配符證書，你需要使用Certbot's DNS plugins插件。要實現這一功能，確保你已經安裝了相關的插件，除了按以上指引進行安裝，還需要執行以下命令：

[root@zcwyou ~]# certbot -a dns-plugin -i apache -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory

根據你自己的選擇，替換dns-plugin的名字，你可能需要提供額外的標記，如你API憑證的地址。

Certbot's DNS plugins使用指南

申請免費ssl通配符證書

申請免費ssl通配符證書

6. 更新免費的SSL證書

免費的SSL證書只有90天有效期，因此你需要在過期前更新你的SSL證書，執行以下命令測試更新證書的可行性

[root@zcwyou ~]# certbot renew --dry-run

如果沒有發現錯誤，繼續執行以下命令用於更新SSL證書

[root@zcwyou ~]# certbot renew

7. 自動定期更新SSL證書

強烈建議你使用cron 或者 systemd job定期自動執行更新動作，推薦每天執行2次。每天執行更新並不一定會更新證書。當證書還有效時，並不會更新證書。當證書離過期時間很接近時，執行更新才會真正更新SSL證書。

建議使用cron job，在每天中午和子夜更新SSL證書，計劃任務設置如下：

0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew 

自動定期更新SSL證書

更多的使用幫忙請參考完整的官方文檔。https://certbot.eff.org/docs/using.html#renewal

本文已同步至博客站，尊重原創，轉載時請在正文中附帶以下連結：

https://www.linuxrumen.com/rmxx/918.html

點擊了解更多，快速查看更多的技術文章列表。