使用 Let‘s Encrypt (DNS-01) 为 Cloudflare 托管域名申请 SSL 证书

已于 2025-02-17 22:43:19 修改
阅读量1.1k 收藏 19
点赞数 9
文章标签: ssl 服务器
于 2025-02-17 22:42:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81011704/article/details/145693373
版权

本指南详细介绍了如何使用 Let’s Encrypt 通过 DNS-01 方式Cloudflare 托管的域名 申请 SSL 证书,并配置 自动续期。此外,还包括如何删除并注销 SSL 证书的完整步骤。

1. 安装 Certbot 和 Cloudflare 插件

确保 Ubuntu 服务器已更新:

sudo apt update
sudo apt upgrade -y

安装 Certbot 和 Cloudflare DNS 插件:

sudo apt install -y certbot python3-certbot-dns-cloudflare

验证 Certbot 是否安装成功:

certbot --version

2. 创建 Cloudflare API 令牌

为了使用 DNS-01 验证,你需要在 Cloudflare 生成 API 令牌。

创建 API 令牌

  1. 访问 Cloudflare API Token 页面
  2. 点击 Create Token(创建令牌)
  3. 选择 Edit zone DNS 作为模板
  4. Permissions(权限)部分:
    • ZoneDNSEdit
  5. Zone Resources(区域资源)部分:
    • 选择 Specific Zone(特定区域),然后选择你的域名(如 xxx.com
  6. 创建并复制 API 令牌

3. 配置 Cloudflare API 令牌

在服务器上创建存放 API 令牌的文件:

mkdir -p ~/.secrets/certbot
nano ~/.secrets/certbot/cloudflare.ini

在文件中添加以下内容(替换 YOUR_CLOUDFLARE_API_TOKEN):

dns_cloudflare_api_token = YOUR_CLOUDFLARE_API_TOKEN

保存后,设置文件权限以确保安全:

chmod 600 ~/.secrets/certbot/cloudflare.ini

4. 申请 SSL 证书

运行以下命令申请 SSL 证书:

sudo certbot certonly --dns-cloudflare \
  --dns-cloudflare-credentials ~/.secrets/certbot/cloudflare.ini \
  -d <your-domain>

成功申请后的证书路径

  • 证书文件:/etc/letsencrypt/live/<your-domain>/fullchain.pem
  • 私钥文件:/etc/letsencrypt/live/<your-domain>/privkey.pem

你可以使用以下命令查看证书:

sudo certbot certificates

5. 自动续期

测试自动续期

sudo certbot renew --dry-run

如果没有错误,则表示自动续期正常工作。

创建自动续期任务

sudo crontab -e

添加以下内容:

0 3 * * * certbot renew --quiet --dns-cloudflare --dns-cloudflare-credentials ~/.secrets/certbot/cloudflare.ini && systemctl reload nginx

这样,系统会在每天凌晨 3:00 自动检查并续期 SSL 证书。

6. 配置 Nginx(可选)

编辑 Nginx 配置文件:

sudo nano /etc/nginx/sites-available/<your-domain>

示例配置:

server {
    listen 443 ssl;
    server_name <your-domain>;

    ssl_certificate /etc/letsencrypt/live/<your-domain>/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/<your-domain>/privkey.pem;

    location / {
        proxy_pass http://127.0.0.1:9000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

server {
    listen 80;
    server_name <your-domain>;
    return 301 https://$host$request_uri;
}

重启 Nginx 以应用更改:

sudo systemctl restart nginx

删除并注销 SSL 证书

1. 删除本地证书文件

sudo certbot delete --cert-name <your-domain>

2. 注销 Let’s Encrypt 账户(可选)

如果你不再使用 Let’s Encrypt,可以注销账户:

sudo certbot unregister

3. 移除 Cloudflare API 令牌(可选)

rm -f ~/.secrets/certbot/cloudflare.ini

4. 删除自动续期任务

打开 crontab,删除 certbot renew 相关的行:

sudo crontab -e

5. 重启 Web 服务器(如 Nginx)

sudo systemctl restart nginx

6. 验证是否成功删除

运行以下命令检查是否仍有证书:

sudo certbot certificates

如果 <your-domain> 不在列表中,则表示证书已成功删除。

总结

  • 成功申请 SSL 证书
  • 配置自动续期
  • Nginx 配置 HTTPS 反向代理(可选)
  • 安全删除 SSL 证书

你现在可以放心地在 <your-domain> 使用 HTTPS!🚀

AetherByte
关注
K8S使用cert-manager申请cloudflare证书
尹曦的博客
07-27 811
3、创建cloudflare-api-token-secret。4、创建cluster-issuer.yaml。8、如果状态Ready不是True需要查看原因。2、使用helm安装cert-manager。注意给api编辑DNS的权限。5、创建cert.yaml。7、查看证书申请状态。
< 自用文儿 申请免费 SSL 证书DNS 使用 Cloudflare ,通过 Let‘s Encrypt 的 certbot 申请 全球认可的 SSL 证书
davenian的博客
01-16 1392
通过 Let's Encrypt certbot 来获得 世界公认的 90天 SSL 证书的全部过程。
在1Panel中自动申请CloudflareSSL证书
栀麦的博客
12-27 877
在1Panel中自动申请CloudflareSSL证书,你需要创建一个具有DNS权限的API Token。创建API Token后,你需要在1Panel中添加DNS账户,并使用这个API Token来申请SSL证书使用API Token可以提供更精细的权限控制,只授予必要的DNS操作权限。
视频:调用cloudflare接口自动申请免费的SSL证书
osfipin note
07-04 752
当我们有大量的域名需要申请SSL证书时,一个个手动验证域名非常麻烦,可以通过域名DNS接口自动化配置DNS解析,实现自动验证以达到自动申请证书。接下来我们介绍在来此加密中,如何添加cloudflare接口,实现自动验证。调用cloudflare接口自动申请免费的SSL证书
certbot-dns-cloudflare:Docker镜像可使用DNS挑战自动从Let's Encrypt检索通配符证书
04-10
certbot-dns-cloudflare 一个Docker映像,可使用DNS挑战自动从Let's Encrypt检索通配符证书。 入门 复制的内容,将image替换为的最新版本( docker.pkg.github.com/runarsf/certbot-dns-cloudflare/certbot-dns-cloudflare:1.0.0 ),然后删除build 。 必需的环境变量:\可以在.env -file或.env docker-compose.yml目录中docker-compose.yml 。\有关更多变量,请参阅 。 DOMAIN : DOMAIN的逗号分隔列表,不包括协议和通配符。 EMAIL :提供给certbot的电子邮件。 CLOUDFLARE_TOKEN :使用Zone:Edit , SSL and Certificates:Edit , DNS:Edi
acme+cloudflare生成免费证书(自动续期)
weixin_41519981的博客
09-24 855
acme DNSapi acme DNSapi的作用是在申请证书使用dns校验,acme可以通过dnsapi在对应的dns管理平台提交对应的dns记录。玩过证书的朋友都知道,证书申请时有三种验证方式 邮箱验证:需要邮箱与域名绑定(细节要求我没试过) 文件验证:文件验证证书管理方会要求你在服务器的指定路径上放一个指定文件(内容也是他们定),然后开放80端口,他们会去下载这个文件从而验证你的身...
nginx-letsencrypt-multisite:Linode + Ubuntu 16.04 LTS + UFW + Nginx(多站点)+ MySQL + phpMyAdmin + PHP 7 +让我们加密(A + SSL)+ Cloudflare + Wordpress
02-06
包括Ubuntu 16.04 LTS操作系统、UFW防火墙、Nginx Web服务器(支持多站点)、MySQL数据库、phpMyAdmin管理工具、PHP 7、Let's Encrypt免费SSL证书Cloudflare CDN以及WordPress安装。以下是详细的步骤和知识点: 1...
cloudflare ssl证书
01-01
当用户的域名指向通过Cloudflare DNS托管时,默认情况下会自动启用Universal SSL功能[^1]。这意味着无需额外操作即可享受由Cloudflare提供的基础级别的HTTPS支持。 对于那些希望进一步自定义其设置或拥有专用IP地址...
Docker使用 linuxserver/letsencrypt 生成SSL证书最全解析及实践
javarrr的博客
01-23 1386
本文使用 HTTP 和 DNS 两种校验方式对 Docker 下 linuxserver/letsencrypt 项目进行了实践。生成SpringBoot可用证书使用 Nginx 的 htpasswd 来对网站进行密码保护,并测试使用 fail2ban 防止 htpasswd 被暴力破解。全文基于 linuxserver/letsencrypt 文档及其他官方资料,根据作者实践进行详细解析和记录...
cloudflare 配符域名
02-14
Let's Encrypt 这样的认证中心要求验证对所申请证书对应域名的实际控制权才能签发有效期内的安全套接字层(SSL)/传输层安全(TLS)凭证[^4]。当涉及到通配符 (*.example.com),通常需要完成额外的身份确认流程以满足...
caddy 获取SSL证书报错解决:failed to obtain certificate: acme: Error -> One or more domains had a problem
热门推荐
个人博客
01-27 1万+
此文首发于我的个人博客:caddy 获取SSL证书报错解决:failed to obtain certificate: acme: Error -> One or more domains had a problem — zhang0peter的个人博客 早上尝试使用caddy,启动HTTPS服务,并自动配置TLS证书,结果在自动配证书的过程中报错: -> # sudo system...
https证书申请和配置 (letsencrypt:certbot + dns: cloudflare ) & (apache,Caddy,Nginx)
intbird的专栏
03-28 2068
vps Centos7 apache服务器之httpd服务器 http升级https 1. https原理自建证书创建:第三方证书申请:自建证书和第三方证书区别2.工具准备3.证书配置:4.验证配置:出现异常:解决方法:5.重启服务器:6.排查异常方法1.命令行工具异常1: 服务器443端口被占用(解决方法就不用说了)异常2: RSA密钥问题2. 查看详细日志3.解决异常1. 443端口被占用就...
Cloudflare域名配置+SSL证书配置
最新发布
qq_43883925的博客
04-08 866
一个0基础运维对自己新工作的记录,主打实践(方便以后重复使用),所以原理性的知识比较少,但是脚本都是私人珍藏、亲测可用(别人能不能用不知道反正自己)
Let's Encrypt 通过DNS TXT记录交互模式手动续期
sdfddly的专栏
11-05 3067
Let’s Encrypt 通过DNS TXT记录交互模式手动续期 前言 在做天猫精灵和Domoticz对接时需要域名必须是HTTPS的,由于域名是西部数码注册的,在网上没有找到西部数码域名的自动化解析脚本,西部数码网站上也没找到相关的控制API,还好Let’s Encrypt支持通过DNS TXT记录的方式申请SSH证书,于是通过DNS TXT进行了证书申请,申请方法参考的是:Letsencry...
【linux】使用certbot申请多个https通配符证书,立省2000,并自动更新
weixin_38650077的博客
01-31 1223
我的机器是Centos 7.9,由于我yum源的问题,所以我选择了使用pip安装,(需要你的机器有python环境),并且让他自动更新,示例域名为:*.example.com,请记得替换,本文分别介绍了域名cloudflare和阿里云两种托管的情况,请按需要选择:首先,确保你的系统已经安装了 pip。接下来,你需要获取你的 Cloudflare API 密钥,并将其保存在一个文件中。你可以在 Cloudflare 的仪表板中找到你的 API 密钥。你需要创建一个文件(例如请将。
linux:cloudflare证书申请及应用到nginx
Cloud Flower的博客-专注unity
07-23 2099
4.nginx.conf,记得更改监听443配置的servername为域名(localhost将无法访问)记住这个Proxy status一定要勾选,这是cloudflare代理https请求转发到你的服务器,否则证书将不可信。flexible和full都可以。6.服务器记得防火墙开启443接口,否则也不能访问。登陆www.cloudflare.com。5.nginx如何配置暂略,网上挺多的。站点设置完毕后Add record。Add a Site 增加站点。
5分钟Traefik之旅:基于Let's EncryptCloudflare的HTTPS
NewTyun的博客
12-17 3115
新钛云服已为您服务912天Traefik 2.0于2019年9月在GA上发布,发布了许多新功能,包括对SNI路由的TCP支持,中间件,canary/traffic镜像和IngressRo...
Certbot之仅申请证书、在内网中申请证书DNS01
k4nz
05-28 2650
原文地址:Certbot之仅申请证书、在内网中申请证书DNS01(永久地址,保存网址不迷路 ????) 问题描述 在申请证书时,我们按照 Certbot 官方指引,需要公网服务器,并且 HTTP 站点在线(这主要是为了完成 HTTP 质询,以证明域名所有权)。当证书签发结束后,Certbot 程序将修改 Nginx 配置文件以使用新的证书。整个过程一步到位,开箱即用,非常方便。 但是存在特殊场景:我们站点在内网,未对外公开,这样便无法完成 HTTP 质询,就无法进行签发证书;我们的 Web se
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值