分类： Website/Blog

国内主机：推荐 DNS 法来手动续期

国内主机由于对Let’s Encrypt官网连接经常出现问题，因此推荐 DNS 法手动续期。特别是默认的 certbot renew 命令很容易由于网络连接问题导致失败，此时千万不要反复尝试，否则失败多次后直接封你一个星期没商量。惨痛教训。 😢

DNS验证是比较安全的方法，具体参考这篇文章。在此备份一下命令：

# certbot --manual --preferred-challenges dns certonly

然后有两个地方需要注意的，文章没提到：

第一：添加DNS时千万要仔细看清楚域名写的是什么，不是简单一个_acme-challenge 就完事了，因为可能有子域名。

第二：成功之后最好重启一下httpd服务。

这种方法每三个月都得手动操作一次，不能自动

国外：推荐 snap 自动续期

snap 的官方全文在此处。其实也没什么特殊的，事实上就是它自动帮你安装了一个list-timers脚本，无需手动去设置cron。

使用 apache 的

certbot --apache

该命令会自动帮你设置 conf 文件（SSL 的 conf 以及非 SSL 的重定向）

使用 litespeed 的

此时只能使用 webroot 模式。建议用 --webroot 时用 -w 加上具体的目录名字，例如：

certbot certonly --webroot -w /var/www/html

这里的 /var/www/html/ 是你的域名对应的根目录。

然后去看一下 /etc/letsencrypt/renewal/yourdomain.com.conf，最后几行应该是：

[renewalparams]
account = XXXXXXXX
authenticator = webroot
server = https://acme-v02.api.letsencrypt.org/directory
key_type = rsa
webroot_path = /var/www/html,
[[webroot_map]]

这样就对了。

此时可以 certbot renew --dry-run尝试一下。确定成功才行。

注意：大部分情况下网站开启了 Cloudflare 时是允许源服务器不设置 SSL 的。但是有一种情况必须要设置：想使用 wordpress litespeed cache 爬虫插件时。