自从用上了LetsEncrypt的SSL证书,就没少学习SSL的相关内容,毕竟在自己网站上自动出现一把绿色的小锁头还是很有成就感的。先说说怎样搞LetsEncrypt的证书吧。假设我的域名叫pufengdu.org,首先得把某个子域名,例如xxx.pufengdu.org解析做好,这个得修改DNS上记录,你的域名托管在那个地方,就去那个地方修改就是了。
修改好DNS之后,接着要做的就是使用LetsEncrypt的客户端来获取证书了,对于我这种只开443端口,不开80的情况。首先要做的是把apache服务器给停掉。然后执行
certbot-auto certonly –d xxx.pufengdu.org
然后就可以得到在某个地方放着的你的证书了,按照apache的配置要求,把这些证书配置进去,就可以在xxx.pufengdu.org上启用SSL了。
值得称赞的是LetsEncrypt的证书是支持SNI/SAN的,也就是说,你是可以用Apache在一个IP地址上对多个域名启用SSL的。具体的配置方法,特别是原理,请搜索Apache SNI关键字,网上教程一大堆,这里就不细说了。