網站配備 HTTPS 協議已經是潮流了，不論是出於防止運營商劫持的原因還是為了提高網站的安全性，各大網站都換上了 HTTPS 協議。作為個人開發者，要購買一個證書還是非常昂貴的。幸好 Let』s Encrypt 橫空出世、救苦救難，不僅能夠提供免費的證書，最近還支持了申請通配符域名證書。謹以此文記錄通配符域名證書申請的全過程。

申請證書

我選擇使用 來申請證書。首先使用如下命令安裝 ：

會默認安裝到 目錄，當你看到屏幕輸出 時就表示安裝成功了。由於安裝過程中修改了 文件，所以最好手動 一次該文件。

可以自動配置 DNS，不用我們手動去操作解析記錄，所以申請證書之前我們需要申明兩個環境變數以供其使用。如果你的域名在阿里雲購買，請做如下環境變數聲明：

這兩個變數的值可以在阿里雲控制台（https://ak-console.aliyun.com/#/accesskey）獲取到；如果你的域名在 GoDaddy.com 購買，請前往GoDaddy 開發者中心（https://developer.godaddy.com/keys/）獲取。

配置完成後就可以開始申請我們自己的域名證書了。注意這裡我申請的是一個通配符域名證書，也就是說申請到的證書可以用於我一級域名及其下的所有子域名，執行如下命令：

acme.sh --issue --dnsdns_ali-d your_domain.com -d *.your_domain.com

如果是在騰訊雲購買的域名，可以在DNSPod 安全設置頁面（https://www.dnspod.cn/console/user/security）創建 API Token，然後進行如下配置：

相應的證書申請命令為：

acme.sh --issue --dnsdns_dp-d your_domain.com -d *.your_domain.com

其他域名服務商請參考acme.sh 項目說明（https://github.com/Neilpang/acme.sh/tree/master/dnsapi）。根據域名服務商的不同，你需要修改 參數後的值來確保 能夠成功的操作你域名的解析。整個申請過程大概要 2 分鐘，當看到 時就表示申請成功了。根據提示，域名證書會放置在 目錄下。

需要注意的是， 會自動生成一個定時任務，在每天凌晨 00：00 自動檢測過期的域名證書並自動續期。如果你不需要此功能，可以手動刪除定時任務和 目錄。

配置 Nginx

接下來我們將申請到的域名證書配置到 Nginx 伺服器上。首先需要將用戶發起的 HTTP 請求全部強制跳轉到 HTTPS，然後配置我們的 HTTPS 伺服器。以下是我個人的配置信息，僅供參考。

配置中的 、、 都是上一步我們申請域名證書時產生的。 是 DH-Key 交換秘鑰，RSA 證書默認的交換秘鑰只有 1024 位，所以特地生成這個 4096 位的秘鑰來增強安全性。使用以下命令生成：

openssl dhparam -out dhparam.pem 4096

這時重新載入你的 Nginx 配置文件，看看是不是所有訪問鏈接都變成了 HTTPS 呢？

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！