Nội dung chính
Ngày nay, một phần lớn lưu lượng truy cập Web được mã hóa bằng HTTPS. Nó đang ngày càng trở nên phổ biến, đặc biệt là kể từ khi giới thiệu Let Encrypt, Cơ quan cấp chứng chỉ (CA) được hỗ trợ bởi các công ty lớn trong ngành. Hãy để Encrypt cung cấp chứng chỉ SSL / TLS hoàn toàn miễn phí với hiệu lực trong 90 ngày.
Nói chung, các chứng chỉ được gắn với một hoặc nhiều tên miền cụ thể, vì vậy nếu bạn có chứng chỉ cho www.example.com, thì bạn chỉ có thể sử dụng nó với tên miền chính xác này. Mặt khác, chứng chỉ ký tự đại diện được cấp cho một tên miền mẹ và có thể được sử dụng với bất kỳ tên miền phụ nào của tên miền mẹ. Chẳng hạn, một chứng chỉ ký tự đại diện cho * .example.com có thể được sử dụng cho quyền www.example.com, tài khoản mật vụ chỉ phải lấy và gia hạn một chứng chỉ duy nhất cho tất cả các tên miền phụ hiện tại và tương lai của bạn.
Tại đây, cách thức lấy chứng chỉ ký tự đại diện cho một tên miền đã đăng ký từ Let Encrypt trên Ubuntu, Debian và các bản phân phối dựa trên Debian khác.
1. Cài đặt acme.sh
Hãy để Encrypt sử dụng giao thức Automated Certificate Management Environment (ACME) để xác minh rằng bạn sở hữu tên miền của mình và cấp / gia hạn chứng chỉ. Acme.sh là một ứng dụng khách ACME phổ biến được triển khai trong shell script. Để cài đặt nó, trước tiên bạn sẽ cần cài đặt git:
sudo apt update
sudo apt install -y gitTải xuống kho lưu trữ từ github:
git clone https://github.com/Neilpang/acme.sh.gitNhập thư mục nhân bản và bắt đầu tập lệnh cài đặt:
cd acme.sh/
./acme.sh --installTải lại phiên shell của bạn để bắt đầu sử dụng acme.sh:
exec bash2. Sử dụng acme.sh để cấp chứng chỉ ký tự đại diện.
Để Let Encrypt phát hành chứng chỉ ký tự đại diện, bạn phải giải quyết một thách thức dựa trên DNS được gọi là Xác thực tên miền (DV). Acme.sh tích hợp thuận tiện với API của nhiều nhà cung cấp DNS lớn và hoàn toàn tự động hóa quy trình này.
Cloudflare
Nếu bạn đang sử dụng dịch vụ DNS của Cloudflare, hãy đăng nhập vào tài khoản của bạn và sao chép khóa API toàn cầu của bạn. Lưu nó dưới dạng biến môi trường trên hệ thống của bạn:
export CF_Key="your_cloudflare_api_key"
export CF_Email="your_cloudflare_email_address"Bây giờ bạn có thể yêu cầu chứng chỉ ký tự đại diện:
acme.sh --issue --dns dns_cf -d '*.example.org'NameCheap
Nếu bạn đang sử dụng máy chủ tên NameCheap, hãy làm theo hướng dẫn của họ về cách bật quyền truy cập API, sau đó xuất các biến được yêu cầu:
export NAMECHEAP_SOURCEIP="your_server_ip"
export NAMECHEAP_USERNAME="your_namecheap_username"
export NAMECHEAP_API_KEY="your_namecheap_api_key"Yêu cầu chứng chỉ ký tự đại diện:
acme.sh --issue --dns dns_namecheap -d '*.example.org'DigitalOcean
Nếu tên miền của bạn sử dụng DNS DigitalOcean, hãy làm theo hướng dẫn của họ về cách tạo mã thông báo truy cập cá nhân với quyền đọc và ghi. Xuất khóa / mã thông báo API của bạn:
export DO_API_KEY="your_digitalocean_api_token"Yêu cầu chứng chỉ ký tự đại diện:
acme.sh --issue --dns dns_dgon -d '*.example.org'GoDaddy
Nếu tên miền của bạn sử dụng DNS GoDaddy, hãy sao chép khóa API và bí mật của bạn. Xuất chúng vào môi trường của bạn:
export GD_Key="your_godaddy_api_key"
export GD_Secret="your_godaddy_api_secret"Yêu cầu chứng chỉ ký tự đại diện:
acme.sh --issue --dns dns_gd -d '*.example.org'Vultr
Nếu bạn đang sử dụng DNS Vultr, bạn sẽ cần mã thông báo truy cập cá nhân hoặc cấu hình phụ với các đặc quyền của Manage DNS.
export VULTR_API_KEY="your_vultr_api_key"Yêu cầu chứng chỉ ký tự đại diện:
acme.sh --issue --dns dns_vultr -d '*.example.org'RackSpace
Nếu bạn đang sử dụng RackSpace, bạn sẽ cần tên người dùng và khóa API. Xuất chúng như hình dưới đây:
export RACKSPACE_Username="your_rackspace_username"
export RACKSPACE_Apikey="your_rackspace_api_key"Yêu cầu chứng chỉ ký tự đại diện:
Quy trình thủ công
Nếu bạn không muốn hoặc không thể sử dụng API do nhà cung cấp DNS của bạn cung cấp, bạn có thể tự tạo một bản ghi DNS để hoàn thành thử thách xác thực tên miền, mặc dù vậy bạn cũng sẽ phải lặp lại quy trình thủ công này thường xuyên để làm mới tên miền của mình.
acme.sh --issue --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please -d '*.example.org'Lệnh này sẽ hiển thị mã thông báo xác minh mà bạn sẽ phải thêm dưới dạng bản ghi DNS TXT.
Sao chép mã thông báo và đăng nhập vào bảng điều khiển DNS của bạn. Tạo bản ghi DNS mới loại TXT cho tên miền phụ _acme-Challenge và dán mã thông báo.
Đợi vài phút để bản ghi mới có thể truy cập được, sau đó yêu cầu chứng chỉ:
acme.sh --renew --yes-I-know-dns-manual-mode-enough-go-ahead-please -d '*.example.org'Vị trí tệp
Bạn sẽ tìm thấy chứng chỉ của mình và các tập tin liên quan khác trong thư mục của .acme.sh, trong thư mục nhà của bạn.
- Bản thân chứng chỉ được lưu dưới dạng ~/.acme.sh/*.example.org/*.example.org.cer.
- Khóa chứng chỉ được lưu dưới dạng ~/.acme.sh/*.example.org/*.example.org.key. Tập tin này phải được giữ riêng tư và không bao giờ chia sẻ.
- Tệp chứng chỉ fullchain, là thứ mà bạn rất có thể sẽ sử dụng, được lưu dưới dạng tên của ~/.acme.sh/*.example.org/fullchain.cer. (chứng chỉ trung cấp).
Thực hiện theo các bước ở trên và bạn sẽ có thể nhận được chứng chỉ miền ký tự đại diện Let Encrypt.
f4vnn.com chúc các bạn thành công!
