Let’s Encrypt 试用使用教程-linux-操作系统-壹聚教程网Let’s Encrypt 试用使用教程
前面小编有介绍过关于Encrypt 安装过程了，今天我们来看一篇关于Let’s Encrypt 试用使用教程吧，一个测试仪的例子希望能够对各位有帮助。
听说Let&s Encrypt已经开始Public Beta了，于是马上开始试用。Let&s Encrypt 是一个新的数字证书认证机构，它通过自动化的过程消除创建和安装证书的复杂性，为网站提供免费的 SSL/TLS 证书。
以下是使用 Let&s Encrypt 的过程：
获取客户端并执行
-- 注意python版本要求&=2.7
git clone htt:///letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory auth
一、选择认证方式
在安装一些依赖包后，Let&s Encrypt 将弹出 TUI 界面要求选择认证的方式：手动或独立。这里为了省事，选择独立认证。
二、接着输入 Email 地址
三、同意许可协议
四、输入域名
在此，输入 hdj.me 和 www.hdj.me，多个域名使用逗号或空格分隔。
也可以选择命令行模式：
./letsencrypt-auto certonly -a manual --debug -d www.hdj.me
当看到下列消息时，说明认证已经成功完成：
& Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/linuxtoy.org/fullchain.pem. Your cert will
expire on . To obtain a new version of the certificate in
the future, simply run Let&s Encrypt again.
Let&s Encrypt 将认证的信息保存于 /etc/letsencrypt 目录。
然后，在 NGINX 的配置文件中将下面两行设置成 Let&s Encrypt 的实际路径即可：
ssl_certificate /etc/letsencrypt/live/www.hdj.me/fullchain.
ssl_certificate_key /etc/letsencrypt/live/www.hdj.me/privkey.
上一张预览图：
值得注意的是：
目前 Let&s Encrypt 的证书有效期为 90 天，之后需要手动续期。另外，在请求证书认证时会有频率限制。总的来说，证书的认证过程还是非常容易的，而且又是免费，所以对此有需要的朋友不妨一试。
上一页： &&&&&下一页：相关内容Let's Encrypt 服务器无法解析CloudXNS下域名-问题咨询-服务与支持-免费智能DNS解析服务-迄今为止最好用的智能DNS
Let's Encrypt 服务器无法解析CloudXNS下域名
问题同本帖评论
DNSPOD对此的解决方案如下
letsencrypt 在最终验证时使用了随机大小写（ 0x20 encode ）方式进行 DNS 解析请求，以及请求 CAA 记录（可以不支持）。 DNSPod 为了提高解析服务器的性能，以及应对随机大小写方式的 DNS FLOOD 攻击，是没有对该验证方式进行支持的，一律返回小写。我们正在对该问题进行验证，验证 OK 后将尽快更新支持 letsencrypt 。
测试感觉现在 letsencrypt 的验证规则一直在变， 12.09 的最新规则 DNSPod 、 ali 、 XNS 等都无法验证通过了，都报 timed out 错误， DNSPod 这边修改后的解析程序，测试已经可以验证通过，本周将从免费版逐步灰度更新。
主要修改内容有:1. 支持 0x20 encode （ letsencrypt 貌似已经修改了该规则，不再需要了，但是还是会进行支持）. 2.对 CAA 请求进行应答
希望XNS能够跟进 :)
欢迎测试。
期待早日支持
DNSPOD已经能支持了，xns加油啊！
这个已经安排技术人员处理了
希望xns加紧支持！
请先后回复
Copyright (C) 2017 Beijing Fastweb Technology Inc. All Rights Reserved
&|& Language:
微信扫描二维码，关注CloudXNS公众号>[摘要：Let’s Encrypt 是由平安研讨小组ISRG， Security Research Group主导并开辟的一个新型数字证书认证机构CA，Certificate Authority。该项目旨正在开辟一个]
Let’s Encrypt 项目是由互联网研究小组ISRG，Internet Security Research Group主导并开发的一个新型数字证书认证机构CA，Certificate Authority。该项目旨在开发一个自由且开放的自动化 CA 套件，并向公众提供相关的证书免费签发服务以降低安全通讯的财务、和教育成本。在过去的一年中，互联网安全研究小组拟定了 ACME 协议草案，并首次实现了使用该协议的应用套件： Boulder 和 letsencrypt。
目前LE的证书已经获得了所有的信任了，在浏览器地址栏都会显示一个绿色可信任标志，证书90天有效期我们安装后需要定时任务每月续签一次证书就好了。
目前上大部分的申请教程都是基于的，我们这篇就是讲述如何在申请LE证书并安装到Nginx上的，如果想在windows服务器中安装LE的证书我们先需要利用：
ACMESharp：/ebekker/ACMESharp
ACMESharp安装方式有两种：
如果你的服务器PowerShell版本是5.0以上，以权限运行打开PowerShell执行：
PS& Install-Module -Name ACMESharp
来安装ACMESharp，安装过程需要看网络情况，服务器有条件的用vpn安装，没条件的多尝试几次。
2. 如果你的服务器PowerShell版本是3.0 or 4.0的则麻烦些，先需要在powershell上安装chocolatey命令行包管理器，然后利用chocolatey安装。
在powershell中执行：
PS& iex ((new-object net.webclient).DownloadString('https://chocolatey.org/install.ps1'))
来安装chocolatey命令行包管理器，然后执行：
PS& choco install acmesharp-posh-all
OK，ACMESharp安装完毕我们来申请LE证书吧：
管理员身份打开PowerShell
第一步：导入ACMESharp模块
PS& Import-Module ACMESharp
第二步：初始化ACMEVault来保存和管理证书信息
PS& Initialize-ACMEVault
第三步：在LE填写注册信息，接受注册协议
PS& New-ACMERegistration -Contacts mailto:somebody@example.org -AcceptTos
第四步：创建一个你要申请域名身份
PS& New-ACMEIdentifier -Dns myserver.example.com -Alias dns1
第五步：认证域名所有权
如果是IIS web服务器执行：
PS& Complete-ACMEChallenge dns1 -ChallengeType http-01 -Handler iis -HandlerParameters @{ WebSiteRef = 'Default Web Site' }
如果是其它web服务器，比如nginx需要自己配置的执行：
PS& Complete-ACMEChallenge dns1 -ChallengeType http-01 -Handler manual
== Manual Challenge Handler - HTTP ==
* Handle Time:
[1/12/2016 1:16:34 PM]
* Challenge Token:
[2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0]
To complete this Challenge please create a new file
under the server that is responding to the hostname
and path given with the following characteristics:
* HTTP URL:
[/.well-known/acme-challenge/2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0]
* File Path:
[.well-known/acme-challenge/2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0]
* File Content: [2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0.H3URk7qFUvhyYzqJySfc9eM25RTDN7bN4pwil37Rgms]
* MIME Type:
[text/plain]
执行完毕之后看返回结果LE的服务器在执行下一步时会访问你的这个地址：
/.well-known/acme-challenge/2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0
返回的文本内容是：
2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0.H3URk7qFUvhyYzqJySfc9eM25RTDN7bN4pwil37Rgms
.well-known在windows下可能不能直接创建，需要在命令行下创建。
如果准备好了，我们继续下一步。
第六步：提交认证
PS& Submit-ACMEChallenge dns1 -ChallengeType http-01
提交之后我们接下来就需要等待LE服务器来验证了，我们可以通过命令：
PS& -ACMEIdentifier dns1
来检查验证状态：
pedding 正在等待验证
valid 验证通过
invalid 验证失败，如果验证失败需要重新申请一次，也就是我们的第四步开始重新做一次，当然alias名称需要更换，因为已经存在记录了。
如果返回valid表示验证成功后我们继续下一步。
第七步：创建证书申请
PS& New-ACMECertificate dns1 -Generate -Alias cert1
PS& Submit-ACMECertificate cert1
我们通过以下来检查证书的状态：
PS& Update-ACMECertificate cert1
: 9182eb22-cd57-468e-946e-e0b0d8843906
IdentifierRef
: 198488a7-c778-488c-978b-606a0181deb9
KeyPemFile
: 9182eb22-cd57-468e-946e-e0b0d8843906-key.pem
CsrPemFile
: 9182eb22-cd57-468e-946e-e0b0d8843906-csr.pem
GenerateDetailsFile : 9182eb22-cd57-468e-946e-e0b0d8843906-gen.json
CertificateRequest
: ACMESharp.CertificateRequest
CrtPemFile
: 9182eb22-cd57-468e-946e-e0b0d8843906-crt.pem
CrtDerFile
: 9182eb22-cd57-468e-946e-e0b0d8843906-crt.der
IssuerSerialNumber
SerialNumber
: 00FAFC7F409C770B76EB9BA94A
Thumbprint
: 9A59B855EA79B3E9DE1C51B3C0CE8
: 9A59B855EA79B3E9DE1C51B3C0CE8
SignatureAlgorithm
: sha256RSA
如果结果像以上情况则表示申请完毕，我们来下载证书文件吧。
第八步：下载证书文件
下载私钥：
PS& Get-ACMECertificate cert1 -ExportKeyPEM "path\to\cert1.key.pem"
下载LE证书：
PS& Get-ACMECertificate cert1 -ExportCertificatePEM "path\to\cert1.crt.pem" -ExportCertificateDER "path\to\cert1.crt"
下载CA中间证书：
PS& Get-ACMECertificate cert1 -ExportIssuerPEM "path\to\cert1-issuer.crt.pem" -ExportIssuerDER "path\to\cert1-issuer.crt"
下载IIS用的PFX文件：
PS& Get-ACMECertificate cert1 -ExportPkcs12 "path\to\cert1.pfx"
PS& Get-ACMECertificate cert1 -ExportPkcs12 "path\to\cert1.pfx" -CertificatePassword 'g1Bb3Ri$h'
如果是nginx的话只需要利用到上面三个证书文件，这里有一个特殊的地方，在nginx中ssl证书是在server中加入ssl信息：
listen 443;
ssl_certificate D://full.
ssl_certificate_key D://key.
其中full.pem是由LE证书文件和CA中间证书合并的来的，把CA中间证书内容添加到LE证书中合并为一个full.pem文件，作为公钥，另一个就是私钥key.pem。
配置好之后启动nginx直接在浏览器加上https访问你的域名吧！
LE证书默认有三个月的有效期，我们可以每个月通过自动脚本来定是续订一个证书，续订证书的步骤就是重复第七部和第八步然后应用新证书。
注意：在https站点中所有的外部资源都需要通过https访问，否则会抱安全错误（、视频等资源可以通过http访问但是控制台会出现警告）