Let's Encrypt | 通配符证书

博主： sam
发布时间：2022 年 08 月 11 日
919 次浏览
1 条评论
5328字数
分类： System Homelab

申请一个免费的SSL证书还是挺容易的，途径很多，例如Let's Encrypt这种机构，也不需要实名，只需证明你对具体的域名有‘拥有权’即可。

故事

这种‘拥有权’并不是法律意义上的拥有，说‘操作权’或许更合适，例如，即使这个域名法律上是属于某人A，被黑客B通过社会工程学把域名系统账号弄到手了，可以对该域名设置各种DNS记录，那么这个域名在Let's Encrypt证书颁发机构看来，实际是属于黑客B的，仍然会为这个域名颁发证书，当然这个证书也就包含了黑客B所期望的信息。

相对于传统机构证书颁发方式，Let's Encrypt这类机构不再核验一大堆的法律上的，物理上的资料去校验这个域名的所属，而是仅仅通过实际的，谁可以操作这个域名，就颁发给谁，包含谁需要的信息。

这种方式其实是放宽了证书申请的门槛，以前校验信息多多少少需要和现实主体扯上点联系，可能是个行政审批活，现在是个纯技术校验，完全虚拟世界内完成。

门槛降低，一定程度上安全性降低，可信度降低，所以大公司，政府等等行业还是会沿用以前的证书申请方式，同时Let's Encrypt类似机构为了提升这种方式的安全性，证书的有效期只有天90天，过期重新申请。

这是一种思想解放，一种安全理念的改变，一种新的商业模式，Let's Encrypt当时的横空出世时，搅动这个行业，现在看来，取得了成功。

如何验证’拥有权‘

子域名

如上图，两步走。配合Certbot客户端程序，它会在Server端临时启动一个web服务，写入一些数据，然后告诉Let's Encrypt，来访问pidashboard.samliu.tech，如果能成功访问到Server，则证明你对pidashboard.samliu.tech有“拥有权”，会颁发证书，你所需要做的就是配置pidashboard.samliu.tech指向Server的A记录并放开80/443端口即可。

二级域名

如上图，三步走。例如samliu.tech这个二级域名，如果针对所有子域名一个个申请太繁琐，可以申请一个通配符证书，例如*.samliu.tech，这种证书申请的验证方式有些不同，只能使用DNS Challenge验证。

Certbot DNS Challenge ，首先在你的域名托管机构账户下，创建一个api token，要求具有读写DNS Zone的权限，然后添加token信息到Certbot，这样Certbot申请的时候，通过API，在你的DNS账户对应域名空间下创建一个TXT记录，最后Certbot告诉Let's Encrypt，去读取这个TXT记录，如果一致，则证明你对samliu.tech有“拥有权”，会颁发通配符证书，颁发后，TXT记录，会被Certbot删除

Docker部署Certbot

部署前，先去弄一个二级域名，例如我在腾讯云购买的域名 samliu.tech,同时我的域名托管机构也是腾讯云，这里，我不在腾讯云账户申请api token，因为Certbot对腾讯云这个域名托管机构适配不太好，所以我把samliu.tech的托管机构从腾讯云迁移到了Cloudflare，迁移后，子域名的管理工作就交由Cloudflare，添加新记录时，同步到国内来，会稍微有些慢，不过?。

注册Cloudflare
添加网站/域名
更改腾讯云Nameservers
等待一天，Cloudflare开始托管
在Cloudflare，重新配置之前DNS记录(DNS ONLY)
申请Cloudflare api token（只需编辑DNZ Zone 权限即可）

Cloudflare

创建Certbot container

docker run -d --name letsencrypt_testing \
--cap-add=NET_ADMIN \
-e PUID=1000 \
-e PGID=1000 \
-e TZ=Asia/Shanghai \
-e URL=samliu.tech \
-e SUBDOMAINS=wildcard \
-e VALIDATION=dns \
-e DNSPLUGIN=cloudflare \
-e DHLEVEL=2048 \
-v /home/sam/letsencrypt-config_testing:/config \
--restart unless-stopped \
linuxserver/swag

添加Cloudfalre token

sudo nano /home/sam/letsencrypt-config_testing/dns-conf/cloudflare.ini
更改如下配置

# Instructions: https://github.com/certbot/certbot/blob/master/certbot-dns-cloudflare/certbot_dns_cloudflare/__init__.py#L20
# Replace with your values

# With global api key:
#dns_cloudflare_email = cloudflare@example.com
#dns_cloudflare_api_key = 0123456789abcdef0123456789abcdef01234567

# With token (comment out both lines above and uncomment below):
dns_cloudflare_api_token = xxxxxxxxxxxxxxxxxxx

重启container，完成申请过程，查看证书和私钥

sam@debian:~$ ls -l /home/sam/letsencrypt-config_testing/etc/letsencrypt/archive/samliu.tech
total 20
-rw-r--r-- 1 sam sam 2199 Aug 11 16:35 cert1.pem
-rw-r--r-- 1 sam sam 3749 Aug 11 16:35 chain1.pem
-rw-r--r-- 1 sam sam 5948 Aug 11 16:35 fullchain1.pem
-rw------- 1 sam sam 3272 Aug 11 16:35 privkey1.pem

fullchain1.pem privkey1.pem 分别为证书链和私钥，导入服务器使用即可
该container会在证书到期前30天，自动renew，也可以配置到期前自动邮件告警
如果30天内，没有自动renew，进入容器内 ，手动 /app/le-renew.sh
如果手动renew，重新创建一个新container，重新配置token，无视时间限制
查看容器内定时任务：
sudo docker exec -it letsencrypt_testing sh
crontab -e
# do daily/weekly/monthly maintenance
# min   hour    day     month   weekday command
*/15    *       *       *       *       run-parts /etc/periodic/15min
0       *       *       *       *       run-parts /etc/periodic/hourly
0       2       *       *       *       run-parts /etc/periodic/daily
0       3       *       *       6       run-parts /etc/periodic/weekly
0       5       1       *       *       run-parts /etc/periodic/monthly
# renew letsencrypt certs
8       2       *       *       *       /app/le-renew.sh >> /config/log/letsencrypt/letsencrypt.log 2>&1

通配符证书（https://pidashboard.samliu.tech/）

最后修改：2022 年 08 月 14 日

如果觉得我的文章对你有用，请随意赞赏

1 条评论

看透一切的贫僧 Safari 605.1.15 Mac OS X Lion 10.15.7
August 14th, 2022 at 04:03 pm

ECC and RSA CertOωO

回复

发表评论取消回复

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

cckowin
博主的x86机器什么配置啊，参考下
今朝
大佬，这个noVnc能实现用一台电脑监控其他多台电脑的屏幕吗？...
123
老大，用了最新版的novnc 1.4 websockify...
潜心学习的匿名人士
*Dot1x_NW_MsgTask_2: Jun 07 05:...
Uefire
生命不息，折腾不止~

Let's Encrypt | 通配符证书

sam • 2022 年 08 月 11 日

<p>申请一个免费的SSL证书 还是挺容易的，途径很多，例如Let's Encrypt这种机构，也不需要实名，只需证明你对具体的域名有‘拥有权’即可。</p><h2>故事</h2><p>这种‘拥有权’并不是法律意义上的拥有，说‘操作权’或许更合适，例如，即使这个域名法律上是属于某人A，被黑客B通过社会工程学把域名系统账号弄到手了，可以对该域名设置各种DNS记录，那么这个域名在Let's Encrypt证书颁发机构看来，实际是属于黑客B的，仍然会为这个域名颁发证书，当然这个证书也就包含了黑客B所期望的信息。</p><p>相对于传统机构证书颁发方式，Let's Encrypt这类机构不再核验 一大堆的法律上的，物理上的资料去校验这个域名的所属，而是仅仅通过实际的，谁可以操作这个域名，就颁发给谁，包含谁需要的信息。</p><p>这种方式其实是放宽了证书申请的门槛， 以前校验信息多多少少需要和现实主体扯上点联系，可能是个行政审批活，现在是个纯技术校验，完全虚拟世界内完成。</p><p>门槛降低，一定程度上安全性降低，可信度降低，所以大公司，政府等等行业还是会沿用以前的证书申请方式，同时Let's Encrypt类似机构为了提升这种方式的安全性，证书的有效期只有天90天，过期重新申请。</p><p>这是一种思想解放，一种安全理念的改变，一种新的商业模式，Let's Encrypt当时的横空出世时，搅动这个行业，现在看来，取得了成功。</p><h2>如何验证’拥有权‘</h2><p><figure class="wp-block-image size-full"><img src="https://blog-samliu-tech-1300751433.cos.ap-shanghai.myqcloud.com/wp-content/uploads/2022/08/image-8.png" alt="" class="wp-image-1403"style=""></figure></p><h3>子域名</h3><p>如上图，两步走。配合Certbot客户端程序，它会在Server端临时启动一个web服务，写入一些数据，然后告诉Let's Encrypt，来访问pidashboard.samliu.tech，如果能成功访问到Server，则证明你对pidashboard.samliu.tech有“拥有权”，会颁发证书，你所需要做的就是配置pidashboard.samliu.tech指向Server的A记录并放开80/443端口即可。</p><h3>二级域名</h3><p>如上图，三步走。例如samliu.tech这个二级域名，如果针对所有子域名一个个申请太繁琐，可以申请一个通配符证书，例如*.samliu.tech，这种证书申请的验证方式有些不同，只能使用DNS Challenge验证。</p><p><strong>Certbot DNS Challenge</strong> ，首先在你的域名托管机构账户下，创建一个api token，要求具有读写DNS Zone的权限，然后添加token信息到Certbot，这样Certbot申请的时候，通过API，在你的DNS账户对应域名空间下创建一个TXT记录，最后Certbot告诉Let's Encrypt，去读取这个TXT记录，如果一致，则证明你对samliu.tech有“拥有权”，会颁发通配符证书，颁发后，TXT记录，会被Certbot删除</p><p><figure class="wp-block-image size-large"><img src="https://blog-samliu-tech-1300751433.cos.ap-shanghai.myqcloud.com/wp-content/uploads/2022/08/cloudflare_DNS-TXT-1024x50.jpg" alt="" class="wp-image-1405"style=""><figcaption>TXT记录</figcaption></figure></p><h2>Docker部署Certbot</h2><p>部署前，先去弄一个二级域名，例如我在腾讯云购买的域名 samliu.tech,同时我的域名托管机构也是腾讯云，这里，我不在腾讯云账户申请api token，因为Certbot对腾讯云这个域名托管机构适配不太好，所以我把samliu.tech的托管机构从腾讯云迁移到了Cloudflare，迁移后，子域名的管理工作就交由Cloudflare，添加新记录时，同步到国内来，会稍微有些慢，不过?。</p><ul><li><strong>注册Cloudflare</strong></li><li><strong>添加网站/域名</strong></li><li><strong>更改腾讯云Nameservers</strong></li><li><strong>等待一天，Cloudflare开始托管</strong></li><li><strong>在Cloudflare，重新配置之前DNS记录</strong>(<strong>DNS ONLY</strong>)</li><li><strong>申请Cloudflare api token（只需编辑DNZ Zone 权限即可）</strong></li></ul><p><img src="https://blog-samliu-tech-1300751433.cos.ap-shanghai.myqcloud.com/wp-content/uploads/2022/08/image-9.png" alt="Cloudflare" title="Cloudflare"style=""></p><p><figure class="wp-block-image size-full"><img src="https://blog-samliu-tech-1300751433.cos.ap-shanghai.myqcloud.com/wp-content/uploads/2022/08/image-10.png" alt="" class="wp-image-1407"style=""></figure></p><ul><li><strong>创建Certbot container</strong></li></ul><div class="hcb_wrap"><pre class="prism undefined-numbers lang-plain"><code>docker run -d --name letsencrypt_testing \
--cap-add=NET_ADMIN \
-e PUID=1000 \
-e PGID=1000 \
-e TZ=Asia/Shanghai \
-e URL=samliu.tech \
-e SUBDOMAINS=wildcard \
-e VALIDATION=dns \
-e DNSPLUGIN=cloudflare \
-e DHLEVEL=2048 \
-v /home/sam/letsencrypt-config_testing:/config \
--restart unless-stopped \
linuxserver/swag</code></pre></div><ul><li><strong>添加Cloudfalre token</strong></li></ul><div class="hcb_wrap"><pre class="prism undefined-numbers lang-plain"><code>sudo nano /home/sam/letsencrypt-config_testing/dns-conf/cloudflare.ini
更改如下配置

# Instructions: https://github.com/certbot/certbot/blob/master/certbot-dns-cloudflare/certbot_dns_cloudflare/__init__.py#L20
# Replace with your values

# With global api key:
#dns_cloudflare_email = cloudflare@example.com
#dns_cloudflare_api_key = 0123456789abcdef0123456789abcdef01234567

# With token (comment out both lines above and uncomment below):
dns_cloudflare_api_token = xxxxxxxxxxxxxxxxxxx</code></pre></div><ul><li><strong>重启container，完成申请过程，查看证书和私钥</strong></li></ul><div class="hcb_wrap"><pre class="prism undefined-numbers lang-plain"><code>sam@debian:~$ ls -l /home/sam/letsencrypt-config_testing/etc/letsencrypt/archive/samliu.tech
total 20
-rw-r--r-- 1 sam sam 2199 Aug 11 16:35 cert1.pem
-rw-r--r-- 1 sam sam 3749 Aug 11 16:35 chain1.pem
-rw-r--r-- 1 sam sam 5948 Aug 11 16:35 fullchain1.pem
-rw------- 1 sam sam 3272 Aug 11 16:35 privkey1.pem

fullchain1.pem privkey1.pem 分别为证书链和私钥，导入服务器使用即可
该container会在证书到期前30天，自动renew，也可以配置到期前自动邮件告警
如果30天内，没有自动renew，进入容器内 ，手动 /app/le-renew.sh
如果手动renew，重新创建一个新container，重新配置token，无视时间限制
查看容器内定时任务：
sudo docker exec -it letsencrypt_testing sh
crontab -e
# do daily/weekly/monthly maintenance
# min   hour    day     month   weekday command
*/15    *       *       *       *       run-parts /etc/periodic/15min
0       *       *       *       *       run-parts /etc/periodic/hourly
0       2       *       *       *       run-parts /etc/periodic/daily
0       3       *       *       6       run-parts /etc/periodic/weekly
0       5       1       *       *       run-parts /etc/periodic/monthly
# renew letsencrypt certs
8       2       *       *       *       /app/le-renew.sh &gt;&gt; /config/log/letsencrypt/letsencrypt.log 2&gt;&1</code></pre></div><ul><li><strong>通配符证书（https://pidashboard.samliu.tech/）</strong></li></ul><p><figure class="wp-block-image size-full"><img src="https://blog-samliu-tech-1300751433.cos.ap-shanghai.myqcloud.com/wp-content/uploads/2022/08/image-11.png" alt="" class="wp-image-1408"style=""></figure></p><div style="height:100px" aria-hidden="true" class="wp-block-spacer"></div><h3>参考</h3><p><a href="https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-20-04" target="_blank" rel="noreferrer noopener">How To Secure Nginx with Let's Encrypt on Ubuntu 20.04 | DigitalOcean</a></p><p><a href="https://www.digitalocean.com/community/tutorials/how-to-create-let-s-encrypt-wildcard-certificates-with-certbot" target="_blank" rel="noreferrer noopener">How To Create Let's Encrypt Wildcard Certificates with Certbot | DigitalOcean</a></p><p><a href="https://www.blackvoid.club/lets-encrypt-docker-wild-card-certs/" target="_blank" rel="noreferrer noopener">Let's Encrypt + Docker = wildcard certs (blackvoid.club)</a></p><p><a href="https://github.com/linuxserver/docker-swag" target="_blank" rel="noreferrer noopener">linuxserver/docker-swag: Nginx webserver and reverse proxy with php support and a built-in Certbot (Let's Encrypt) client. It also contains fail2ban for intrusion prevention. (github.com)</a></p><p><a href="https://hub.docker.com/r/linuxserver/swag" target="_blank" rel="noreferrer noopener">linuxserver/swag - Docker Image | Docker Hub</a></p><h4>ECC证书</h4><p><span class="external-link"><a class="no-external-link" href="https://imququ.com/post/ecc-certificate.html" target="_blank"><i data-feather="external-link"></i><a href="https://imququ.com/post/ecc-certificate.html">https://imququ.com/post/ecc-certificate.html</a></span></a><br><span class="external-link"><a class="no-external-link" href="https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/" target="_blank"><i data-feather="external-link"></i><a href="https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/">https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/</a></span></a><br><span class="external-link"><a class="no-external-link" href="https://cloud.tencent.com/developer/article/1426836?from=article.detail.1420663" target="_blank"><i data-feather="external-link"></i><a href="https://cloud.tencent.com/developer/article/1426836?from=article.detail.1420663">https://cloud.tencent.com/developer/article/1426836?from=article.detail.1420663</a></span></a><br><span class="external-link"><a class="no-external-link" href="https://github.com/acmesh-official/acme.sh" target="_blank"><i data-feather="external-link"></i><a href="https://github.com/acmesh-official/acme.sh">https://github.com/acmesh-official/acme.sh</a></span></a></p><h4>证书测试工具</h4><p><span class="external-link"><a class="no-external-link" href="https://cipherlist.eu" target="_blank"><i data-feather="external-link"></i><a href="https://cipherlist.eu">https://cipherlist.eu</a></span></a> tls chips配置最佳实践<br><span class="external-link"><a class="no-external-link" href="https://www.ssllabs.com/ssltest/analyze.html?d=blog.samliu.tech" target="_blank"><i data-feather="external-link"></i><a href="https://www.ssllabs.com/ssltest/analyze.html?d=blog.samliu.tech">https://www.ssllabs.com/ssltest/analyze.html?d=blog.samliu.tech</a></span></a><br><span class="external-link"><a class="no-external-link" href="https://whatsmychaincert.com/?blog.samliu.tech" target="_blank"><i data-feather="external-link"></i><a href="https://whatsmychaincert.com/?blog.samliu.tech">https://whatsmychaincert.com/?blog.samliu.tech</a></span></a></p>

Let's Encrypt | 通配符证书

故事

如何验证’拥有权‘

子域名

二级域名

Docker部署Certbot

参考

ECC证书

证书测试工具

1 条评论

发表评论取消回复

All in Web | 基于web的远程桌面-noVNC

硬盘科普，M.2，PCI-E，NVMe 傻傻分不清

Next Terminal | 开源轻量简单的堡垒机

All in Web | 远程桌面网关-Apache Guacamole

python 100 行代码，网络设备批量配置（一）

python 100 行代码，网络设备批量配置（一）

All in Web | Web后端框架-FastAPI

硬盘科普，M.2，PCI-E，NVMe 傻傻分不清

Homelab | 文件分享应用 -- Send&Pingvin Share

台州神仙居 | 徒步登高

Let's Encrypt | 通配符证书

故事

如何验证’拥有权‘

子域名

二级域名

Docker部署Certbot

参考

ECC证书

证书测试工具

1 条评论

发表评论 取消回复

Let's Encrypt | 通配符证书

发表评论取消回复