如何在Plesk中签发免费的Let's Encrypt通配符证书？

2018年初，Let's Encrypt宣布开始支持签发通配符SSL/TLS证书，用户只需从其扩展2.6.0及其后续版本申请即可。一个通配符证书可以用来保护一个主域名和无数多个子域名，当您拥有多个子域名时，这是很有帮助的。Let's Encrypt在免费证书的道路上越走越远，从而为全球众多的网站所有者省下了大笔的费用。

作为全球最受欢迎的WebOps，Plesk从2018年7月开始支持对Let'sEncrypt通配符证书的签发申请和自动续签，这便意味着其客户现在可以申请使用和管理免费的Let's Encrypt通配符证书了。

Let's Encrypt使用了ACMEv2协议来签发通配符SSL/TLS证书，同时Let’s Encrypt 扩展默认使用的是更为稳定的ACMEv1。若要通过Let's Encrypt 扩展申请通配符SSL/TLS 证书，首先您需要将它配置为支持ACMEv2。

若要将Let's Encrypt 扩展配置为支持ACMEv2：

1. 打开panel.ini 文件以进行编辑。

2. 将以下各行添加到文件中：

现在，Let’s Encrypt 扩展已经支持ACMEv2 协议。您和您的客户可以申请通配符SSL/TLS 证书了。

若要签发通配符SSL/TLS 证书：

1. 请转到网站 & 域名选项卡，找到您想要进行保护的域名，然后点击Let's Encrypt。

2. 勾选"签发通配符证书"复选框，并选择您也想对其进行保护的域名别名（若有的话）。

3. 点击安装按钮（如果域名已经有 Let's Encrypt 证书保护了，或者更新按钮）。

4. Let's Encrypt 扩展将添加一个签发通配符SSL/TLS证书所需的DNS记录：

注意：如果Plesk并未管理域名的DNS，那么Let's Encrypt 扩展便不能自动添加 DNS 记录。在这种情况下，您将看到以下信息："请添加一个带有以下参数的DNS记录"。请手动添加一个带有特定参数的DNS记录。如果您不确定如何做，请向您的DNS主机提供商寻求帮助。

5. 无论是Let's Encrypt 扩展自动添加DNS记录，还是您手动添加，这可能都会花费一些时间。我们建议您在进行下一步之前检查一下是否已添加DNS记录。您可以按以下操作步骤进行：

• 运行以下命令：

dig -t txt _acme-challenge.+short

如果输出结果与Let's Encrypt 扩展所显示的相匹配，您便可以进行下一步。

• 使用一个DNS 检查服务，例如MxToolbox。

输入Let's Encrypt 扩展信息中所显示的域名（在上述例子中为_acme-challenge.example.com ），然后点击TXT查找。如果发现了TXT记录，并且它与Let's Encrypt 扩展所显示的相匹配，您便可以进行下一步。

注意：如果 dig -t txt 命令或DNS检查服务未显示TXT记录，那么您便需要确保域名的NS记录存在，并且指向到了Plesk服务器。为了达到这一目的，请选择并点击DNS检查。如果发现了NS记录，或者它们没有指向Plesk服务器，那么您便需要更改您的DNS设置。如果Plesk没有管理域名的DNS并且您不确定如何做，请向您的DNS主机提供商寻求帮助。

1. 单击继续按钮。

您的通配符SSL/TLS 证书现在已签发并安装完成了。该证书可以自动保护以下对象：

• 主域名。

• 您已经选择进行保护的别名。

• 主域名的"www"子域名和所有您已经选择进行保护的别名。

• Web 邮箱。

默认情况下，以下对象是不进行保护的：

• 子域名 

• 通配符子域名

但您可以对它们进行手动保护：

1. 转到网站 & 域名 选项卡，找到您想要保护的子域名。

2. 点击主机设置。

3. 选择"SSL/TLS 支持"复选框。

4. 从"证书"菜单选择通配符SSL/TLS 证书。

5. 点击确定按钮。