今天主要介绍一款好用的免费域名证书软件 -- lets-encrypt 。
使用场景为aliyun SLB(类nginx),PEM格式SSL证书https://certbot.eff.org/lets-encrypt/centosrhel7-nginx。下面介绍实操:
系统环境为centos7,
代码语言:javascript复制yum安装:
$yum -y install yum-utils
$yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
$yum install certbot python2-certbot-nginx
$cd /etc/letsencrypt/archive
代码语言:javascript复制执行命令申请通配域名(三级域名):
$certbot certonly --manual -d '*.k8s.example.com' --agree-tos --email xiayun@domain.com --server https://acme-v02.api.letsencrypt.org/directory
代码语言:javascript复制_acme-challenge.k8s.example.com with the following value:
ZaUsqkBE109SZMDZheM3UUXA-iw6dukTsixXoG_QrSE
dns解析增加*.k8s.example.com的TXT记录:
验证TXT记录是否生效:
TXT生效后敲回车进行DNS的TXT验证
一般来说,类似aliyun SLB上只需要fullchain1|privkey1.pem这两个文件
一般将SSL配置上SLB之后,查看浏览器证书显示就是绿色正常的了
注意点:此类证书是有使用时间限制的,为三个月,所以在使用期限一个月之内,会发送邮件至预先设置的--email xiayun@domain.com。后续继续使用本文介绍的顺序创建一个新的相同域名证书就可以,也可以通过自动化脚本或者k8s的更新策略来更新SSL证书。后续继续更新······敬请期待!