当前位置: 首页 > news >正文

使用 Certbot 在腾讯云生成 Let’s Encrypt 通配符证书完整教程

news 2026/5/11 4:46:13

本文详细记录了在腾讯云环境下,通过Certbot获取和续期Let’s Encrypt通配符证书的完整流程,包括 DNS API 配置、通配符证书申请、常见错误及解决方案。

1️⃣ 安装 Certbot

在 Ubuntu 系统中,推荐使用官方 PPA:

sudoaptupdatesudoaptinstallcertbot python3-certbot-dns-tencentcloud -y
  • certbot:核心工具
  • python3-certbot-dns-tencentcloud:用于通过腾讯云 DNS API 获取通配符证书

确认安装成功:

certbot --version

2️⃣ 配置腾讯云 DNS API 凭证

  1. 在腾讯云控制台创建API 密钥

    • 登录 腾讯云 API 密钥管理
    • 记录SecretIdSecretKey

  2. 在服务器上创建凭证文件:

mkdir-p /root/.secrets/certbotvim/root/.secrets/certbot/tencentcloud.ini

内容示例:

# 腾讯云 API 凭证 dns_tencentcloud_secret_id = YOUR_SECRET_ID dns_tencentcloud_secret_key = YOUR_SECRET_KEY

修改权限,防止其他用户读取:

chmod600/root/.secrets/certbot/tencentcloud.ini

3️⃣ 申请通配符证书

使用 TencentCloud DNS 插件申请证书:

certbot certonly\--dns-tencentcloud-credentials /root/.secrets/certbot/tencentcloud.ini\--dns-tencentcloud-propagation-seconds60\-d xunhuawenyou.cn\-d"*.xunhuawenyou.cn"

操作说明:

  • certonly:只获取证书,不自动配置 Nginx
  • --dns-tencentcloud-credentials:API 凭证文件路径
  • --dns-tencentcloud-propagation-seconds:DNS 记录生效等待时间
  • -d:指定域名,可包含通配符

⚠️ 常见交互

  1. 如果已有 RSA 证书,会提示是否升级为 ECDSA:
Update key type/(K)eep existing key type: U

选择U

  1. 如果已有证书部分域名相同,会提示是否扩展证书:
Do you want to expand and replace this existing certificate? (E)xpand/(C)ancel: E

选择E扩展。

4️⃣ 常见问题及解决方案

4.1 DNS API 授权失败

报错示例:

Error communicating with the DNSPOD API: http error status: 401

原因:

  • API 密钥错误
  • 使用了错误的 DNS 产品(腾讯云 DNS vs DNSPod)

解决方法:

  • 确认凭证文件内容正确
  • 确认域名在腾讯云 DNS 上托管
  • 文件权限为 600

4.2 Nginx 配置导致续期失败

报错示例:

nginx: [emerg] open() "/var/log/nginx/xunhuawenyou.cn/access.log" failed (2: No such file or directory)

解决方法:

  • 确认 Nginx 配置文件正确
  • 确保日志路径存在或切换 DNS 验证方式

5️⃣ 检查证书与文件路径

证书生成成功后路径:

证书文件:/etc/letsencrypt/live/xunhuawenyou.cn/fullchain.pem 私钥文件:/etc/letsencrypt/live/xunhuawenyou.cn/privkey.pem 证书有效期:至 2026-04-30

注意:使用通配符证书必须 DNS 验证。

6️⃣ 自动续期

Certbot 默认安装后会创建systemd timer自动续期。

检查定时任务:

systemctl list-timers|grepcertbot

手动测试续期:

sudocertbot renew --dry-run

输出示例:

Simulating renewal of an existing certificate for xunhuawenyou.cn and *.xunhuawenyou.cn Congratulations, all simulated renewals succeeded

⚠️ 注意事项:

  • 如果不再使用的域名可以删除对应的 renewal 配置:
sudorm/etc/letsencrypt/renewal/huaxianguan.com.conf
  • 确保 DNS API 密钥有效,续期才会成功

7️⃣ 总结

  • 在腾讯云使用 Certbot 获取通配符证书必须使用 DNS API 插件
  • 生成证书前需创建凭证文件,并设置 600 权限
  • 成功申请后,系统会自动创建定时任务续期
  • 定期用--dry-run检查续期情况
  • 不再使用的域名可以删除对应的 renewal 文件,避免续期错误
http://www.jsqmd.com/news/321612/

相关文章:

  • 2026年四川楼梯定制/楼梯/楼梯扶手/护栏/扶手栏杆厂家定制项目选型指南:空间智能决策如何重塑企业竞争力
  • SpringBoot3 配置文件使用全解析:从基础到实战,解锁灵活配置新姿势
  • 均衡监考安排VBA教务管理系统|免激活不限设备,一单三版适配多场景,原创开发
  • B2b电商解决方案哪家好?千匠网络排名前三
  • 2026年博力飞粘度计代理商选择指南:如何甄别优质合作伙伴?
  • 讲讲十大瓷砖特色品牌选购要点,依诺岩板在佛山口碑怎样?
  • 网络安全工具集:Nmap、Metasploit与Burp Suite使用指南
  • 限时抢购-服务器服务器-云服务器
  • 云原生存储方案:CSI驱动与持久化卷管理
  • 剖析蠡县比尤特口碑,看看市场占有率与客户认可程度怎样
  • 最新研究:NAD+前体NMN原理机制与临床验证进展
  • PCIe接口-高速模拟采集卡—高性能-高精度-高品质- 青翼凌云军工级数据采集板
  • 工小友(北京)科技发展有限公司 联系方式: 产品功能与官方联系渠道解析
  • 选购优质的黑芝麻要注意什么,合古实业产品价格贵吗?
  • 2026年受欢迎的一线艺术涂料加盟,靠谱的环保艺术涂料价格揭秘
  • 聊聊好用的导热油炉,推荐导热油炉优质厂家哪个口碑好
  • 微服务治理:服务发现、负载均衡与熔断机制实现
  • AutoCAD智能线长统计插件:支持缩放、自定义分组与Excel导出的LISP工具
  • 精准匹配技术需求:2026年从DeepSeek知识库到企业BI私有化的顶尖部署服务商导航
  • 工业级AI项目落地必凉?90%的坑都栽在“需求”和“选型”上!
  • VMware Converter P2V迁移工具下载|物理服务器一键转虚拟机,老旧设备轻松焕新!
  • 分析专业十大艺术涂料,诚信加盟厂家怎么收费
  • 用户体验设计公司:兰亭妙微|从0到1做用户体验设计,落地流程与实用方法
  • 牛客网热门考点Java面试1000题升级补录,不管面试还是跳槽都能有帮助
  • 谁在赋能企业的知识闭环?2026年一线企业知识库本地化部署厂商揭秘
  • 2026年艺术漆代理加盟服务排名,权威品牌推荐与性价比分析
  • 社团考核记录篇(天马行空)
  • 2026年企业知识架构核心伙伴盘点:聚焦文档智能、AI问答与DeepSeek专项服务的部署方案商
  • 兰亭妙微实战:B 端数据可视化设计,让枯燥数据变身业务决策支撑
  • 在 MySQL 5.7 中实现每月手动创建分区