本文共 3730 字，大约阅读时间需要 12 分钟。

背景介绍(只看步骤的可以跳过)：

        let's encrypt是个积善的大公司，随着https普及，chrome只认https，let's encrypt给了大众百姓免费搭乘https通信的方式。更加重要的是，现在很多的浏览器和操作系统已经认可let's encrypt的根证书，意思就是说，我们可以像正常付费证书一样使用let's encrypt的证书了。网站证书的分类自行搜索。         let's encrypt 的证书获取，使用Automatic Certificate Management Environment ()协议。想要获取证书，只需要使用实现ACME协议的工具，简单配置一下，就可以获取到证书。         提前说明一下，证书的获取，需要你提前拥有域名 和 网络主机。拥有域名这是废话，网络主机也是需要，因为我们要使用域名做一次解析，来证明这个域名是你的，证明的过程就是使用域名解析到一个预设的空间上。网络主机可能是VPS,可能是独立主机，也会是各个信息服务商的各个形式的虚拟主机，服务商只提供了面板，shell等基本的访问通道。无论是哪种主机形式，区别只在运行 ACME客户端的方式不同而已。let's encrypt官网推荐使用,同时也根据各个厂商的特点可推荐了可以使用的。

 

操作方法一：

        let's encrypt 提供了一个包含常用工具的github仓库，可以使用这个。

git clone https://github.com/letsencrypt/letsencryptcd letsencrypt./certbot-auto --help all./certbot-auto certonly --standalone --email admin@laozuo.org -d laozuo.org -d www.laozuo.org

可以看到，这个仓库就包含一个let'sEncrypt配置完毕的certbot客户端。certbot使用python写的，所以你需要提前准备好certbot运行环境。

    "/etc/letsencrypt/live/laozuo.org/"域名目录下有4个文件就是生成的密钥证书文件。         cert.pem  - Apache服务器端证书         chain.pem  - Apache根证书和中继证书         fullchain.pem  - Nginx所需要ssl_certificate文件         privkey.pem - 安全证书KEY文件 免费的证书可以使用90天，3个月，如果逾期测需要重新手动生成一次，执行上面的最后一行命令。有一些虚拟机服务商的用户面板上，提供了let's encrypt自动续期的功能，其实也是自动运行脚本，每过一段时间运行一次，把产生的证书替换到server指定的位置上。

操作方法二：

        上面是人家配置好的工具让我们使用，下面我们进行配置，然后去获取证书。         官方网站讲的很详细，我就不用多说了。有时间，我简单翻译一下，需要的话，可以给我留言。早上写的这个博客，我要上班了，不说了。

 

附属1 --windows 使用配置：

        现在服务器都是 unix 系列的，基本不会有人使用window产品，但是不幸的是，作者使用的一个网站应用，必须运行在 IIS 上面，so,为了解决这个问题，我记录一下 window 获取 let's encrypt 证书的方法吧。         通过上文智慧的你应该知道，我们需要一个实现ACME协议的windows客户端，这里使用 PowerShell 。

//Power Shell 5.0 版本PS> Install-Module -Name ACMESharp//Power Shell 3.0/4.0等先安装 chocoPS> choco install acmesharp-posh-all//申请LE证书PS> Import-Module ACMESharpPS> Initialize-ACMEVault//注册信息PS> New-ACMERegistration -Contacts mailto:somebody@example.org -AcceptTos//域名信息PS> New-ACMEIdentifier -Dns myserver.example.com -Alias dns1//IIS 执行PS> Complete-ACMEChallenge dns1 -ChallengeType http-01 -Handler iis -HandlerParameters @{ WebSiteRef = 'Default Web Site' }//其他执行PS> Complete-ACMEChallenge dns1 -ChallengeType http-01 -Handler manual== Manual Challenge Handler - HTTP ==  * Handle Time:      [1/12/2016 1:16:34 PM]  * Challenge Token:  [2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0]To complete this Challenge please create a new fileunder the server that is responding to the hostnameand path given with the following characteristics:  * HTTP URL:     [http://myserver.example.com/.well-known/acme-challenge/2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0]  * File Path:    [.well-known/acme-challenge/2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0]  * File Content: [2yRd04TwqiZTh6TWLZ1azL15QIOGaiRmx8MjAoA5QH0.H3URk7qFUvhyYzqJySfc9eM25RTDN7bN4pwil37Rgms]  * MIME Type:    [text/plain]------------------------------------

        执行结束后，LLE服务器会自动按照你配置的域名，访问/.well-known/下的一临时产生的文件，并且会返回一个字符串。

//提交认证PS> Submit-ACMEChallenge dns1 -ChallengeType http-01//验证PS> Update-ACMEIdentifier dns1//创建证书申请PS> New-ACMECertificate dns1 -Generate -Alias cert1PS> Submit-ACMECertificate cert1//下载证书//私钥PS> Get-ACMECertificate cert1 -ExportKeyPEM "path\to\cert1.key.pem" //LE证书PS> Get-ACMECertificate cert1 -ExportCertificatePEM "path\to\cert1.crt.pem" -ExportCertificateDER "path\to\cert1.crt"//CA中间证书PS> Get-ACMECertificate cert1 -ExportIssuerPEM "path\to\cert1-issuer.crt.pem" -ExportIssuerDER "path\to\cert1-issuer.crt" //IIS用的PFX文件PS> Get-ACMECertificate cert1 -ExportPkcs12 "path\to\cert1.pfx" PS> Get-ACMECertificate cert1 -ExportPkcs12 "path\to\cert1.pfx" -CertificatePassword 'g1Bb3Ri$h'

附属2--(windows 图形界面)：

        既然是windows,图形界面肯定最简单的。大家可以搜索 Let's Encrypt For Windows。有exe执行文件，需要的信息和上面一样。需要说明一下，新版本的for window在cmd界面的选型和旧版本是不同的，需要自己分辨命令行的各种配置，包含在windows下IIS的自动工具，非IIS的模式，手动模式等，提示你输入信息，然后同样，需要完成一个域名和控件的验证。这里有一个问题，windows里面，不能之间创建 .wellknow 文件夹，这个时候，你需要想想办法绕过这个问题。。。还有，在初始化 forWind应用的时候，需要翻墙才可以。

 

祝你成功。

转载地址：http://hjegi.baihongyu.com/