Popular blog tags

1.Let’s Encrypt 支持三种证书。
1)单域名证书:证书仅仅包含一个主机。
2)SAN 证书:一张证书可以包括多个主机(Let’s Encrypt 限制是 20),也就是证书可以包含下列的主机:www.example.com、www.example.cn、blog.example.com 等等。

3)通配符证书
通配符证书就是证书中可以包含一个通配符,比如 .example.com、.example.cn,大型企业也可以使用通配符证书了,一张证书可以防止更多的主机了。

 

2.1 Let’s Encrypt 的客户端

Let’s Encrypt 的客户端有两种:

2.1.1 certbot-auto

2.1.2  certbot
certbot-auto 和 certbot 的不同之处在于运行 certbot-auto 会自动安装它自己所需要的一些依赖,并且自动更新,推荐使用(因为各个 Linux 发行版的仓库,更新不是很及时)。

2.2 Let’s Encrypt 校验域名的所有权

客户在申请 Let’s Encrypt 证书的时候,需要校验域名的所有权,证明操作者有权利为该域名申请证书,目前支持三种验证方式:

dns-01:给域名添加一个 DNS TXT 记录。
http-01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件。
tls-sni-01:在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件。

而申请通配符证书,只能使用 dns-01 的方式

 

 

3.Certbot支持两种类型的plugin

3.1 Authenticators

用来获取和安装证书

3.2 Installers

用来安装证书

3.3 上面两种都支持

如nginx

4.Certbot常用的plugin简要说明

Webroot:本地有运行webserver并且有能力修改其配置,就可以用该种方式(创建隐藏文件.well-known),获取证书时无需暂停webserver的运行。

Standalone:服务器未运行webserver可以使用该方式,要保持80或443端口开放。

Nginx:自动获取和安装证书(自动修改配置文件)

DNS Plugins: 泛域名支持,可以使用DNS Plugins来实现。