实战申请Let’s Encrypt Wildcard SSL证书

就是这个网址！mewwoof.cn，注册于花生壳。

2018年1月花生壳开放免费申请赛门铁克（Symantec）SSL入门级证书，证书有效期一年。当时心里美滋滋，天上掉馅饼啊，免费的SSL证书啊啊啊！要知道SSL证书的价格是这样的：

立即申请了一个，下载下来，发现还是通配型（Wildcard，野卡）的！赚到了啊！

于是2019年1月，证书过期。。。花生壳成功拉到了我这个客户，买了一个Rapid SSL的证书，就是上面99元/年的那个。终于有证书了！终于有证书了！立即全站配置，结果：

又试了一轮，发现只有mewwoof.cn和www.mewwoof.cn成功通过HTTPS访问。

排除了一大堆问题，才意识到：这不是Wildcard！这不是Wildcard！?Wildcard证书99元能买到？Daydream！

于是想起了以前折腾过的 Let’s Encrypt。Let’s Encrypt是一个由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起，主要目的是为了推进网站从HTTP向HTTPS过度的进程的一个项目。服务提供者只需提供相应的证明即可以获取到免费的SSL证书！这个真是免费的！这个真是免费的！

上面提到了，Let’s Encrypt要求验证操作者为服务器管理员，拥有操作服务器的权限，而Let’s Encrypt有两种验证方法：

第一种：http-01

将指定字符串复制到相应主机名的主页面中，验证服务器会自动HTTP请求申请者的服务器，比较字符串，吻合则通过验证。

第二种：dns-01

将指定字符串复制到特定主机名的TXT记录，验证服务器将查询被验证的DNS-TXT记录，若查询到的字符串相等，则通过验证。

但是申请Wildcard涉及域名，所以只能通过dns-01方式验证。下面记录了验证过程：

第一步：环境准备

安装 Let’s Encrypt 的认证工具 Certbot

Let’s Encrypt 官网： https://letsencrypt.org/
Certbot 官网： https://certbot.eff.org

官网上有官方英文文档，有能力的同学可以自行查看哈

首先安装Certbot：
（Ubuntu系需要添加源）

sudo apt-get update
sudo apt-get install software-properties-common
sudo add-apt-repository universe
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install certbot 

第二步：准备验证

打开终端或SSH，运行：

sudo certbot --manual --preferred-challenges dns certonly

根据提示进行即可。如果是第一次验证，则还需要填写一些内容。

出现需要填写域名信息时，若要申请Wildcard证书的话，直接输入泛域名（如*.example.com）即可。

不过需要说明的是，Wildcard证书也只支持任意二级域名而已。若要用Wildcard证书加密三级域名的话，还得重新申请。
如：需要申请*.abc.example.com证书

那么以上就是实战申请 Let’s encrypt Wildcard 证书的步骤啦！希望对你有帮助！

=====20190506补充====

貌似目前 Oray DDNS 也支持申请了，之前是不行的