首先强调一点,Let Encrypt是纯免费的,由非营利性组织运营,所以不管是单域名SSL还是泛域名SSL都是免费的,其目的也是为了加快互联网SSL的发展步伐.

像外面那些三方厂商推出针对Let Encryp的单域名SSL免费,泛域名SSL付费的套餐,其实本身都是免费的,可能是收取了代续证的“辛苦费”(因为Let Encrypt每次下的证,都只有3个月的有效期,3个月后需重新免费续签)

Let Encrypt目前下通配符的证书,自己手动弄的话也是非常方便,2行代码搞定!

一. 获取acme.sh

进入宝塔里的终端输入

curl https://get.acme.sh | sh 

出现如下结果则成功:

若出现如下字样 Failed connect to raw.githubusercontent.com:443; Connection refused

则需要对github加个host(因为是国外源,某墙屏蔽导致),前往www.ipaddress.com 获取 raw.githubusercontent.com的源ip , 然后host上宝塔本地(建议不要使用图里的ip,自己前往获取最新的)

二. 获取&下载证书

因为Let Encrypt下证书需要审核域名,这里以阿里云为例,前往 阿里云获取AccessKey ,然后执行以下脚本(其他域名商 参考此)

# 替换成从阿里云后台获取的密钥
export Ali_Key="123"
export Ali_Secret="abbcddddd"
# 换成自己的域名
/root/.acme.sh/acme.sh --issue --dns dns_ali -d zeink.cn -d *.zeink.cn

等待片刻后,输出如下信息则成功,证书已下载至本地

三. 部署证书

前往所在路径即可看到相应证书,编辑其获取内容,将其粘贴部署至相应网站即可

四. 缺点吐槽

Let Encrypt可谓是各小型站点的福音,不要太爽,毕竟免费,但缺点还是有的

1.证书有效期太短只有90天,反复续签比较麻烦.

2.IOS设备首次打开缓慢,缘由IOS设备上验证证书有效性的OSCP域名被墙了,有时等待需要5-10秒,其他Chrome和FireFox浏览器不受影响

3.兼容性不高,在部分老平台如XP上会直接显示证书不支持,无法打开页面

4.安全性不如某些付费的商业证书,虽然目前在主流的浏览器Let Encrypt还是显示绿标HTTPS锁,但一想到自己用的SSL被检测机构评为不合格,还是有点不舒服

参考链接:

Let’s Encrypt 官网   https://letsencrypt.org/

Let’s Encrypt 生成通配符 HTTPS 证书 | 菜鸟教程   https://www.runoob.com/w3cnote/lets-encrypt-https.html

-bash: acme.sh: command not found Let‘s Encrypt证书 – 老郭种树   https://guozh.net/bash-acme-sh-command-not-found/