Let's Encrypt 配置泛域名通用SS证书 备忘

获取certbot 客户端

# 下载 Certbot 客户端
$ wget -c https://dl.eff.org/certbot-auto -P /usr/local/bin/
# 设为可执行权限
$ chmod a+x /usr/local/bin/certbot-auto
$ certbot-auto --version
certbot 0.34.2

开始申请证书

certbot-auto certonly  -d *.example.com --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory 

Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y  #询问是否对域名和机器（IP）进行绑定

这一步填写Y

以下一步是最头疼的一步

以上确认后继续，以下提示要求配置 DNS TXT 记录，从而校验域名所有权，也就是判断证书申请者是否有域名的所有权。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

OGWxK87UxvB5iMp2tn-tfnB7r_kICS3oSRHyo0ouwzU

Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue  ## 这里切记自己验证生效后再回车执行

上面输出要求给 _acme-challenge.example.com 配置一条 TXT 记录，在没有确认 TXT 记录生效之前不要回车执行。请自行登录域名管理系统，比如我在namecheap买的域名，以下是我在域名解析里面配置的TXT记录.

在没有确认 TXT 记录生效之前不要回车执行

在没有确认 TXT 记录生效之前不要回车执行

在没有确认 TXT 记录生效之前不要回车执行

重要的事情强调三遍。

这串值会变，每次重新申请后，

OGWxK87UxvB5iMp2tn-tfnB7r_kICS3oSRHyo0ouwzU

TXT  有人不会做，

_acme-challenge.example.com   这个域名     _acme-challenge  填写在主机处。

OGWxK87UxvB5iMp2tn-tfnB7r_kICS3oSRHyo0ouwzU

这一串值放到    记录值哪里。

等待5-10分钟。

另外等待期间可以使用以下命令查看TXT记录生效情况

自己电脑运行CMD

nslookup -q=txt  example.com

以下是下载的四个证书文件的英文说明

This directory contains your keys and certificates.

`privkey.pem`  : the private key for your certificate.

`fullchain.pem`: the certificate file used in most server software.

`chain.pem`    : used for OCSP stapling in Nginx >=1.3.7.

`cert.pem`     : will break many server configurations, and should not be used

                 without reading further documentation (see link below).

WARNING: DO NOT MOVE OR RENAME THESE FILES!

         Certbot expects these files to remain in this location in order

         to function properly!

We recommend not moving these files. For more information, see the Certbot

User Guide at https://certbot.eff.org/docs/using.html#where-are-my-certificates.

翻译后如下

此目录包含您的密钥和证书。

`privkey.pem`：证书的私钥。

`fullchain.pem`：大多数服务器软件中使用的证书文件。

`chain.pem`：用于Nginx>=1.3.7的OCSP缝合。

`cert.pem`：将破坏许多服务器配置，不应使用

不需要阅读进一步的文档（见下面的链接）。

警告：不要移动或重命名这些文件！

Certbot希望这些文件按顺序保留在此位置

才能正常工作！

我们建议不要移动这些文件。有关更多信息，请参见Certbot

用户指南https://certbot.eff.org/docs/using.html#我的证书在哪里。

第一个和第二个证书应用最普遍