目前網站啟用Https是主流,如果沒有啟用Https,主流的瀏覽器都會提示網站是不安全的,啟用Https就必須要有憑證,憑證網路上有付費的版本,大概提供一年效期,也有免費的版本,例如Let’s Encrypt每次可以提供3個月的憑證。下面教程為在Windows上申請Let’s Encrypt泛域名憑證,在到期前自動續約。
官方的提供的客戶端網站為https://letsencrypt.org/zh-tw/docs/client-options/
軟體有許多種,挑選了一個Windows下帶GUI的工具Certify The Web (Windows)
安裝後執行,首先要提供一個通知的信箱
再來設定要產生憑證的域名,本例為*.icka.nl,點擊+添加
然後點擊Authorization設定驗證部分
Challenge Type選擇dns-01
為了全自動,所以不選擇手動,下拉選擇我的DNS管理商,Cloudflare DNS API
Credentials預設為空,點擊NEW建立新的驗證,直接提供全局的Token感覺比較危險,我們可以訪問https://dash.cloudflare.com/profile/api-tokens建立一個新的Token,提供的權限如下
Zone Resources截圖是選擇了All zones,但其實可以設定套用到指定的域名,讓權限最小化。
點擊Continue to summary產生Token并記錄
將Token添加到API token的欄位,保存退出
Dns Zone id是從Cloudflare定位到當前域名,在概述的頁面右下角會有顯示
Domain Match輸入我們要申請的網域名稱
設定完畢後,點擊右上角有個test,可以檢查Cloudflare DNS API是否通過驗證
在此處其實點擊Request Certificate就可以獲取憑證了,但如果需要自動部署憑證及是否將憑證匯出等則可以繼續向下設定。
部署憑證可以針對許多環境自動部署
申請憑證的時候,首選程式會獲取要設定的TXT DNS名稱,通過Cloudflare DNS API直接設定在DNS上面,等待幾十秒後,提交Let’s Encrypt驗證,通過後獲取憑證,然後會再通過Cloudflare DNS API把剛才添加的TXT記錄刪除掉。
匯出憑證。
相關設定,例如多久之後自動獲取等等。
匯出憑證的格式及路徑設定。
獲取到的憑證文件資訊
查看剛才獲取到的憑證,可以看到,確實有成功獲取到3個月有效的泛域名憑證。
官方的說明文件可以參考:
https://docs.certifytheweb.com/docs/intro