type
status
date
slug
summary
tags
category
icon
password
通配符证书必须使用DNS验证,不需要任何服务器,不需要任何公网 IP,只需要 DNS 的解析记录即可完成验证。假设你有cloudflare账户,你的主域名是wp.top且托管在了cloudflare上
这里使用acme的 DNS api方式,可以自动验证,自动更新;
这里以cloudflare作为域名解析商,为了安全性,使用“权编辑单个特定 DNS 区域”的API token而非Global token
创建单个特定 DNS 区域的API token
cloudflare中的设置:
限制性 API 令牌
cloudflare“我的个人资料”页面点击创建令牌
编辑区域DNS—使用模板
在“权限”下,选择“区域”>“DNS”>“编辑”,然后在“区域资源”下,仅包含需要自己需要的单一域名
之后一路继续,就可以创建令牌的,记住你的令牌;该令牌只显示一次;
得到单一单一 DNS 区域ID
是一个 32 个字符的十六进制字符串,位置就在”你的域名所对应的网页的右下角”
然后设置系统的环境变量
签名以及使用
设置环境变量
颁发证书
颁发证书时设置和使用的任何环境变量都将保存在
~/.acme.sh/account.conf中,以便将来在颁发新证书或使用dns_cf续订现有证书时可以自动重用它们。
到此为止通配符证书颁发成功,通配符证书同时保护主域名和所有二级域名
查看证书
复制证书
之后就是把证书复制到一个具体的路径,自己要记住该路径,之后就可以用该路径下的证书了;必须使用
--install-cert 命令来把证书复制到目标文件,而非直接复制粘贴 ~/.acme.sh/ 目录下的证书文件,这里面的文件都是内部使用,而且目录结构将来可能会变化。以nginx为例:
使用证书
如此设置即可nginx配置文件即可,添加一个server块,之后不管是
aa.wp.top还是bb.wp.top ,任何以wp.top 为基础的二级域名都可以引用同一份路径下ssl证书免去了每申请一次证书就要签名一次的麻烦- 作者:JIAHE
- 链接:https://blog.jiaheliu.top/Technical-Notes/Create-and-use-wildcard-certificate-to-sign-your-website
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
.webp?table=block&id=16ae204f-639d-800a-824f-c2b8ec272c0f&t=16ae204f-639d-800a-824f-c2b8ec272c0f&width=800&cache=v2)
