前些天因为网站的letsencrypt证书到期了，导致网站https无法访问。打算诡异的事情是，我好想用的不是letsencrypt，我一直用的不用letsencrypt，后来了解到letsencrypt是有90天有效期的，选择删除该证书重新安装了新的证书，下面整理的是letsencrypt删除不需要的证书方法。

Let’s Encrypt是一个于2015年第三季度出现的数字证书认证机构，该机构不仅向个人用户提供免费的SSL/TLS证书，还开发了一套自动化的证书申请工具，大幅简化了复杂的证书申请流程。

该机构的出现掀起了一波个人网站SSL/TLS化的潮流，目前已经是V2EX上的钦定证书认证机构。考虑到WoSign和StartCom的那些破事，Let’s Encrypt也应该是目前个人站点SSL/TLS化的首选证书来源。

Let’s Encrypt的网站上提供了如何为指定的域名申请证书的教程，但是却没说怎么把不想要域名从证书中删除。有的时候因为使用的域名发生变化，会导致证书更新（renew）失败，所以我们确实需要知道如何从证书中删除不需要的域名。

从证书中删除域名

其实，Let’s Encrypt目前并不提供从证书中删除域名的功能……但是我们可以把证书删除后重新申请。

对于一些不想再继续更新的证书，也可以采用本文的方式将它们删除，以避免/etc/letsencrypt/目录中留下太多没用的文件。

删除证书的时候，需要删除archive中的文件和live中的符号链接，同时还需要删除证书更新的配置文件：

rm -rf /etc/letsencrypt/live/www.example.com/
rm -rf /etc/letsencrypt/archive/www.example.com/
rm /etc/letsencrypt/renewal/www.example.com.conf

删除后，重新申请证书，这里给出的是webroot方式，当然你也可以用standalone方式：

letsencrypt certonly --webroot -w /var/www/example -d foo.example.com -d bar.example.com

获得证书后，测试一下是否可以正常更新：

letsencrypt renew --dry-run --agree-tos

如果更新一切正常，就证明证书当中已经不包括我们不需要的域名了。

是否需要吊销旧的证书？

我并不知道吊销证书会不会产生什么不好的后果，但是证书吊销一般都发生在一些严重的安全事故之后。由于我们并没有发生什么严重的安全事故，只是删个域名而已，因此我个人认为是不需要吊销旧证书的。而且Let’s Encrypt签发的证书只有90天的有效期，等着它自己过期就可以了。