「CERTBOT」- 仅申请证书、在内网中申请证书、DNS01

在申请证书时,我们按照 Certbot 官方指引,需要公网服务器,并且 HTTP 站点在线(这主要是为了完成 HTTP 质询,以证明域名所有权)。当证书签发结束后,Certbot 程序将修改 Nginx 配置文件以使用新的证书。整个过程一步到位,开箱即用,非常方便。但是存在特殊场景:我们站点在内网,未对外公开,这样便无法完成 HTTP 质询,就无法进行签发证书;我们的 Web server 未受到 Certbot 的支持,因此无法自动修改配置文件,需要我们仅申请证书,然后自行修改配置文件。总之,这些特殊场景的存在,需要我们仅申请证书,而不能使用 Certbot 的自动化配置。该笔记将记录:在 Certbot 中,仅申请证书的方法,以及相关问题的处理、解决方案。

除了 HTTP 质询,我们还能使用 DNS 质询方法:
1)在申请证书时,根据要求添加 DNS 记录;
2)然后 Let’s Encrypt(ACME Server)检查该记录,以验证域名的所有权;
3)在检查通过后,进行证书签发,并自动保存在服务器中;
4)最后,我们修改 Web server 配置,以使用该证书文件;

第一步、开始申请证书

执行如下命令开始申请证书,按照提示操作即可:

certbot certonly --manual --preferred-challenges dns -d example.com

第二步、添加解析记录

当命令执行中,会收到类似如下提示,要求添加 TXT 解析记录:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

667drNmQL3vX6bu8YZlgy0wKNBlCny8yrjF1lSaUndc

Once this is deployed,
Press ENTER to continue

根据上面提示,登录云商后台(比如阿里云、腾讯云等等),添加名为 _acme-challenge.example.comTXT 记录,并使用 667drNmQL3vX6bu8YZlgy0wKNBlCny8yrjF1lSaUndc 作为记录值。

注意事项:
1)由于 DNS 记录不会马上生效,所以稍后再按回车键。
2)使用 dig +short -t txt _acme-challenge.example.com 命令验证 DNS 是否生效。

第三步、按下回车键

在确认 DNS 记录生效之后,按下回车键将会收到证书申请成功的提示(类似如下内容):

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2020-03-11. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

第四步、使用证书

正如开始所述,该方法只能申请证书,我们还需要手动修改 Web server 配置文件,以使用证书。这里不再展开。

证书文件路径:输出日志包含证书路径,这里是 /etc/letsencrypt/live/example.com/ 目录

关于证书自动续期

证书有效期为 90 天,需要在定时任务中使用 certbot renew 命令重新续期证书,但是需要附加操作,具体细节不再展开。