IT001

網址：SSL For Free (https://www.sslforfree.com/)

套件: DNS (webmin)

有時候我們遇到系統比較舊，

沒有辦法透過指令方式進行憑證申請的時候，

我們仍然可以透過Web端的方式進行SSL憑證的申請。

Step 1. 連結到SSL for Free網站

填妥相關資料。

Step 2. 按下Create Free SSL Certificate

之後會轉跳到驗證的畫面。

驗證的方式有三種。（不同方式的操作可以看到參考網址）

FTP、HTTP以及DNS。

FTP的方式，是要透過該機器的FTP服務上傳檔案過去做驗證。

HTTP的方式，要將該網站提供的檔案放在網頁連結的後端作為驗證。

DNS的方式，要在DNS上針對該網域增添一個TXT資料。

前兩者驗證的方式都能很快就處理好了，DNS則是要等待同步時間。

這邊我們選用的方式是DNS設定的方式（對網管來說比較好處理）。

Step 3. 選用Manual Verification (DNS)

之後就會出現下列的畫面，跟你說要怎麼進行操作。

Step 4. 點選DNS下列的Manual Verification

點完後Button會變成Retry Manual Verification。

點選的動作會要添加的資訊顯示出來(host 跟value)。

host通常是_acme-challenge.網址

value則是隨機的字串(1Rsqhk………….)

而這兩個數值就是我們要添加的。

Step 5. 我們到DNS上面進行設定。

管理這個網域的DNS主機建置在Linux Server上，

而為了管理上的方便，DNS的部份是透過webmin去進行管理。

進入BIND DNS伺服器後，

找尋到相對應的網域位置，找到文字的ICON。

將剛剛取得的host 以及value值輸入，並完成建立。

TTL時間可以使用預設 或者 自行設置TTL時間。

設定完後如同我們需要重新載入服務一樣，

webmin也需要重新載入，但他只能重啟而已。

所以看到webmin的右上角，重啟這個Bind DNS服務。

(webmin只能先關閉再啟動）

但到這邊只是建立完而已，還需要等待同步時間。

Step 6.驗證

在申請頁面內有一個驗證的連結。

可以用它測試同步是否完成。

如果同步沒有完成，

就會出現下圖 No TXT Record的訊息。

同步完成會帶出你剛才輸入的host以及value的資訊。

到這邊就驗證完成。

Step 7. 下載並自行使用。

點選Download SSL Certificate

接著會切到憑證申請完成的頁面。

因為Let’s Encrypt憑證，3個月就會過期。

所以這邊可以看到E-mail / 密碼的部份。

主要就是要讓你到時候可以在用這組帳密登入更新憑證。

同時這邊的E-mail還身兼到時候憑證要過期前的通知用途。

輸入完相關資料，點選Create Account後。

會出現帳號申請完成，並會再憑證過期前 1週進行通知的訊息。

我們可以看到這個頁面有

Certificate / Private Key / CA Bundle 3個的值。

除了自行紀錄外，下方有個Download All SSL Certificate Files的按鈕。

點下去就可以將三個檔案都抓下來。

將這個檔案解壓縮，

可以得到ca_bundle.crt / certificate.crt / private.key

這三隻檔案。

壓縮檔內的檔案:

最後就是依照自己申請的用途及需求，

將其設定到自己對應的服務當中就完成所有操作。

透過web方式申請Let’s encrypt SSL憑證的介紹就先到這裡。

後記：

除了透過web的網址進行連結測試驗證過了沒之外。

也可以透過Linux的指令dig來進行查詢。

#dig -t txt _acme-challenge.網址

EX: dig -t txt _acme-challengw.test.com

這樣也能夠測試這隻TXT是否有同步成功。

相關說明可以詳見參考網址。

<本篇完>

參考網址：

https://blog.johnwu.cc/article/ssl-for-free.html

http://blog.csdn.net/u012291393/article/details/78768547