Category: 态|status

记录一下，用certbot更新已有的Let’s Encrypt证书、并添加/删除SAN（Subject Alt Names），以CN（Common Name）为web.example.com为例，只要再次重新指定本次申请证书所有在SAN中的域名即可（以将sub1.example.com与sub2.example.com加入SAN、并将web.example.com从SAN删除为例），以下命令参考[*]：

sudo certbot certonly --cert-name web.example.com -d sub1.example.com -d sub1.example.com

程序会交互地依次询问验证方式（比如Apache/NGINX安装器、certbot自己的临时web服务器、或指定webroot等[注]），如果该域名web.example.com证书已存在，则会依次提示本次新添加进入SAN的域名与从SAN中删除的域名，然后询问并确认后，会完成证书更新。这比起直接修改域名证书申请的配置文件要安全一些[*]。

[注]：这些安装器、临时服务器及指定webroot的方式实际采用的是“HTTP-01 challenge”，需要将正在申请证书的域名开放80端口；除此之外，还有“DNS-01 challenge”；参考[1，2]。