封面配图 PID 73415224

[Let's Encrypt] 乃当下一良心证书颁发机构，其提供的免费证书几乎可以永久续期，直到本体倒闭，我™ 吹 爆 ！

通常，我们使用certbot程序获取证书。certbot将调用letsencrypt的服务器访问你的网站（通常是 80 端口）验证域名是否属于我们。但有时候，运行的网页服务器可能是 NAT VPS, 或者你需要在某台内网的主机上撸一张证书另作他用，这时候letsencrypt会甩出不能访问服务器 （Connection refused/timeout） 的信息，然后退出。

当然 [Let's Encrypt] 也考虑到了这种情况，于是呢，cerbot提供了一个可用的参数→ --preferred-challenges dns

打开终端，输入命令：sudo certbot --manual --preferred-challenges dns certonly 回车

输入域名并回车后，会有是否允许记录 IP 的提示

敲 Y，允许记录。这时候certbot会给出要求添加的 DNS 记录。如下图↓

进入你的域名解析控制面板，并添加相应的 TXT 记录（这里以 Cloudflare 为例）

添加后可以使用nslookup测试添加的记录是否生效↓

nslookup -q=TXT _acme-challenge.二级域名 1.1.1.1

↑像这样子就是可以了的意思
我们回到certbot中，按回车继续~
不出意外的话就成功了。证书会放置在/etc/letsencrypt/archive/域名中

** 注意！certbot 给出的路径中存放的是连接（Linux symbolic），不能直接复制的！
真正的证书在/etc/letsencrypt/archive/域名中 **

你可以把证书和 key 一起 COPY 出来，放到想用的地方，接上需要使用的程序。

PS: 三个月后如果需要续签，可以直接运行certbot renew。要注意的是，DNS 记录需要一直保持，否则证书是无法更新的。

本文链接：https://blog.hiirachan.moe/archives/131.html
This blog is under a CC BY-NC-SA 3.0 Unported License

本站不提供任何可用于侵入、非法控制计算机信息系统的程序、工具
亦不提供非法定信道进行国际联网