快速上手：采用Let‘sEncrypt免费SSL证书配置网站Https (示例环境:Centos7. ...

1 关于Let’s Encrypt与Cerbot DNS验证

Let’s Encrypt 是一个提供 免费证书 的 认证机构。
Cerbot 是 Let’s Encrypt 提供的一个工具，用于主动化天生、验证和续订证书。
DNS验证是 Cerbot 支持的验证方式之一。相比 HTTP 验证或 TLS-ALPN 验证，DNS 验证更灵活，可以用于获取任意域名（如子域名或裸域名）的证书，无需直接访问服务器。 DNS 验证通过在目标域名的 DNS 记录中添加特定的文本记录（TXT 记录）来证实 对该域名的控制权。认证机构会查询域名的 DNS TXT 记录以验证域名所有权。
以下是 DNS 验证的具体步骤和背后逻辑：
(1) 天生挑衅内容

• Cerbot 向 Let’s Encrypt 发送证书申请，提供需要认证的域名。
  
• Let’s Encrypt 返回一个挑衅（Challenge），内容包罗一个随机字符串（Challenge Token）。
  

(2) 盘算验证字符串

• Cerbot 结合 Challenge Token 和账户密钥天生一个验证字符串。
  
  
  
  • 验证字符串 = SHA256(account_key + token) 或雷同算法的结果。
    
  
  
• 这个字符串需要通过 DNS TXT 记录发布。
  

(3) 添加 DNS TXT 记录

• Cerbot 会提示用户手动或通过 API 在域名的 DNS 配置中添加一条 TXT 记录：
  
  
  
  • 记录名： _acme-challenge.<your-domain>
    
  • 记录值： 验证字符串
    
  
  

比方，对于域名 example.com：
_acme-challenge.example.com. IN TXT "验证字符串"
(4) 验证记录

• Let’s Encrypt 会查询域名的 DNS 服务器，寻找 _acme-challenge.<your-domain> 的 TXT 记录。
  
• 假如记录值与预期验证字符串匹配，则证实申请者对该域名具有控制权。
  

(5) 签发证书

• 验证乐成后，Let’s Encrypt 会签发证书，Cerbot 会下载并生存证书。
  

Let’s Encrypt官网
参考教程
2 网站HTTPS配置最佳实践

• 使用Cerbot天生Let’s Encrypt证书、DNS厂家添加TXT记录、继续完成Cerbot的控制权认证
  
• Nginx对网站举行Https配置（HTTP的重定向到HTTPS）
  
• 业务服务的HTTPS配置，这里有两种方式（按需）：