说说我的环境: FreeBSD Jail. 因为letsencrypt用的是python, 而且直接往/etc写, 我就想把它单独开. 另外还有git要bash等…

目前BETA使用的是acme-v01.api.letsencrypt.org服务器

• 不和任何端口冲突
• 可以在任何地方运行letsencrypt

• 需要配置下web server
• 需要自己放置验证文件

添加以下设置到验证的域名的80 http配置

location /.well-known {
  default_type text/plain;
}

$ letsencrypt --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory -a manual -d hshh.org -d www.hshh.org certonly

多个 “-d 域名” 将生成SAN证书.

执行以上命令会提示需要在相应的域目录下/.well-known/acme-challenge/添加验证文件, 手动放入后验证通过.

$ cd /etc/letsencrypt/live/hshh.org/
$ letsencrypt --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory revoke --cert-path cert.pem

listen 443 ssl http2;
listen [::]:443 ssl http2;
ssl_certificate /path/etc/letsencrypt/live/hshh.org/fullchain.pem;
ssl_certificate_key /path/etc/letsencrypt/live/hshh.org/privkey.pem;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security max-age=31536000;

return 301 https://$server_name$request_uri;

其中申请证书修改为

$ letsencrypt --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory -a webroot --webroot-path /path/web/documentroot -d hshh.org certonly