Let's Encrypt项目计划是为网站提供永久免费的SSL证书,用来加速互联网从HTTP 向安全可被加密的HTTPS过渡。该项目由Mozilla、Cisco、Akamai、IdenTrust、EFF 和密歇根大学研究人员共同参与。

申请Let’s Encrypt永久免费的SSL证书-续笔记自媒体

HTTPS的SSL证书问题一直是广大站长头疼的问题,自从百度宣布HTTPS站点正常收录并优先抓取以来,很多网站开始向HTTPS过渡,最近Apache和Nginx新版本相继开始支持http/2,由于http/2必须使用HTTPS,使得申请SSL证书问题更加迫切。

 

众所周知的,SSL证书一般价格比较昂贵,Comodo这些廉价证书又无法续期。此时Let’s encrypt项目对所有站长和开发者无疑是雪中送炭,很好的解决了SSL证书问题。好消息是该项目于2015年12月3日公开测试。

 

据本站了解,需要提交申请表单(域名和邮箱),等待审核结果(邮箱)

 

目前本站已经单方面向Let's Encrypt提交了申请。这里需要说明的几点是,Let's Encrypt不支持wildcard,每个子域名都要提交,侥幸获审后,他们会将你申请的域名加入whitelist,你就可以用client工具进行证书生成和更新了。

 

申请地址:

https://docs.google.com/forms/d/15Ucm4A20y2rf9gySCTXD6yoLG6Tba7AwYgglV7CKHmM/viewform?c=0&w=1

 

客户端工具使用python,建议2.7版本以上,2.6要加上–debug参数。客户端安装命令:(以debian为例)

  1. apt-get -y install python-pip python-dev git
  2. git clone https://github.com/letsencrypt/letsencrypt

 

获取证书命令:

  1. cd letsencrypt
  2. ./letsencrypt-auto certonly --server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview

证书生成成功后会在/etc/letsencrypt/live/根域名/ 目录下生成4个pem文件。fullchain1.pem就是配置https站点需要使用的crt文件,privkey1.pem就是key文件。

 

可能会出现的错误:

  1. Error: serverInternal :: The server experienced an internal error :: Error creating new authz

导致产生这个错误原因是DNS服务器问题,域名DNS服务器不能使用国内的,比如dnspod,cloudxns都不行,推荐使用cloudflare的域名解析。

 

申请Let’s Encrypt永久免费的SSL证书-续笔记自媒体

更改域名DNS服务器需要过一段时间才能生效,即使用工具测试在全球范围都已近通过解析,但在Let’s encrypt 那里没生效,所以还是多等几个小时以后再重试,稍安勿躁。