随着HTTPS的普及,SSL证书显得越来越重要。Let's Encrypt是帮助互联网从HTTP过渡为HTTPS的免费CA,任何人都可以为自己的网站从Let's Encrypt获取免费的SSL证书。
Let's Encrypt最大的特点就是签发自动化,它提供了无需人工干预的签发流程。目前也出现了大量优秀的自动化签发工具,帮助开发者处理证书签发的相关事务。
虽然这些工具非常优秀,但是大多数工具还是多多少少需要用户具有一定的技术能力。所以提供一个更加大众化的签发方法我认为也不是坏事,这种方法可能不能说适用于大多数人,但至少能帮助到一部分人。
SSL.md就是这样的一个工具,它帮助用户签发证书的过程与传统付费证书的签发过程类似,但传统证书普遍应用的Whois邮箱验证方法改为了DNS验证以兼容Let's Encrypt的签发流程。
注册账户
打开SSL.md首页,在首页上填写Email地址和密码后就可以注册了。注册过程无需填写其他信息,也不需要验证邮箱有效性。不过还是建议填写可以正常接收邮件的邮箱,因为签发的证书会发送到这个邮箱里。
添加域名
账户注册完毕后就会进入控制台,点击控制台右上角的添加域名按钮来添加域名。
然后根据提示设置域名DNS来完成所有权验证。推荐使用第二种设置CNAME记录的方法来进行验证。
上传CSR
CSR(Certificate Signing Request)是签发证书时的重要材料,它可以保证私钥安全的情况下通过远端CA签发证书。
验证域名后点击上传CSR按钮来上传CSR文本,在输入框上方同时给出了通过OpenSSL生成CSR的命令。填写好CSR后点击上传就可以开始签发证书了。
如果你需要快速为非产品环境签发证书,绕过生成CSR的步骤,也可以点击生成按钮通过SSL.md服务器生成CSR,不过需要注意,这不是推荐的做法,并且永远不要将通过第三方生成的CSR签发的证书应用在产品之中。
在生成CSR页面上勾选“我明白我不应将在线生成的CSR应用于产品之中”,然后点击生成按钮即可。生成后的私钥会显示在结果页面上。
签发证书
在完成CSR上传后,SSL.md就会自动帮你开始签发证书,如果一切顺利,几分钟之后就会在邮箱里收到签发出的证书了。
后续操作
证书签发成功后,在控制台中点击相应域名的CRT链接可以随时看到当前域名的最新证书。
点击Renew Script可以看到自动续签脚本,脚本中的URL就是续签API。SSL.md提供的续签脚本是针对Linux平台下Nginx环境的,其他环境可以根据API接口自行修改。
问题反馈
原文链接:https://www.zhihu.com/tardis/bd/art/30377917
