申请 Let'sEncrypt 证书

通过促进 HTTPS 的广泛采用，来创建一个更加安全和尊重隐私的 Web 环境。

为了在您的网站上启用 HTTPS 协议，您需要从证书颁发机构(CA)那里获取证书，而 Let's Encrypt 就是一个 CA 证书的颁发机构。想要从 Let's Encrypt 获取您网站域名的证书，您必须证明您对域名的实际控制权。即如果你通过新网购买的域名，就可以在新网的管理界面看到你自己购买的域名，您可以在您的 Web 主机上运行使用 ACME 协议的软件来获取 Let's Encrypt 证书。 为了找出最适合您获取证书的方法，您需要知道您是否拥有服务器的命令行访问权限，即称为 SSH 访问权限。如果您仅使用控制面板管理您的网站，您很有可能没有命令行访问权限，您可以联系您的托管服务提供商确认。 Let's Encrypt 是一个于 2015 年推出的数字证书认证机构，将通过旨在消除当前手动创建和安装证书的复杂过程的自动化流程，为安全网站提供免费的 SSL/TLS 证书。这是由 互联网安全研究小组 这一个公益组织提供的服务，主要赞助商包括 电子前哨基金会，Mozilla 基金会，Akamai 以及 Cisco 等公司。 2015 年 6 月，Let's Encrypt 得到了一个存储在硬件安全模块中的离线的 RSA 根证书。这个由 IdenTrust 证书签发机构交叉签名的根证书被用于签署两个证书。其中一个就是用于签发请求的证书，另一个则是保存在本地的证书，这个证书用于在上一个证书出问题时作备份证书之用。因为 IdenTrust 的 CA 根证书目前已被预置于主流浏览器中，所以 Let's Encrypt 签发的证书可以从项目开始就被识别并接受，甚至当用户的浏览器中没有信任 ISRG 的根证书时也可以。

1. 运作方式

域名认证 + 证书颁发和吊销

Let's Encrypt 和 ACME 协议的目标是使配置能够自动获取受信任浏览器的证书的 HTTPS 服务器成为可能。这是通过在 Web 服务器上运行证书管理软件(Agent)来达成的。为了理解该技术的工作原理，让我们来看一下使用支持 Let's Encrypt 的证书管理软件来配置 https://example.com/ 的流程。 该认证流程分为两步。首先，管理软件向证书颁发机构证明该服务器拥有域名的控制权。之后，该管理软件就可以向 Let's Encrypt 申请、续期或吊销该域名的证书。

• [1] 域名认证