前述

目前市面上的证书都90天了，而且都是单域名。之前博主写过 Joyssl 是可以使用泛域名的。但好景不长，现在Joy SSL改成30天了，太频繁了。

最近研究了Let's 的，用certboot来申请泛域名，整体使用不错，也将整个实践记录分享，希望能帮助到有需要的朋友。

部署

• 系统

  dnf config-manager --set-enabled CRB && dnf clean all && dnf makecache
  
  ## 9系列
  dnf install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm   https://dl.fedoraproject.org/pub/epel/epel-next-release-latest-9.noarch.rpm
  
  ## 8系列
  dnf install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm https://dl.fedoraproject.org/pub/epel/epel-next-release-latest-8.noarch.rpm
  
  ## 安装 certboot
  dnf install -y certbot python3-certbot-nginx
  

• certbot
  申请 SSL证书，主域名和泛域名一定要写两个（如一个主域名 + 一个泛域名），不然会导致主域名无法访问
  certbot certonly --preferred-challenges dns --manual -d your_domains -d *.your_domains --server https://acme-v02.api.letsencrypt.org/directory
• 按照提示填写，如图
  
• 等待出现填写dns记录后，不要按回车，要等dns解析出来后再回车，否则会失败，得重新来，这里可以使用 dig -t txt your_domains 来查询，当然也可以使用 ITdog 等在线工具检测。
  
  

• 查看证书

  certbot certificates

  
  

• 使用证书
  由于certboot 生成的证书默认在 /etc/letsencrypt/live 下，需要需要手动配置一下；如果你的nginx配置证书路径，那么直接做个软连接即可。

  ## 公钥
  ln -s /etc/letsencrypt/live/your_domins/fullchain.pem  你的证书绝对路径 （nginx 配置的）
  
  ## key
  ln -s /etc/letsencrypt/live/your_domins/privkey.pem  你的证书绝对路径（nginx 配置的）

• 验证配置

  ## 检查nginx 配置
  nginx -t
  
  ## 生效配置
  nginx -s reload

• 如果你用了cdn，那么同时也需要将证书更新到对应的cdn中。