重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
本文以demo.example.com为例,详细介绍了使用acme.sh进行ssl申请和自动续约的方法
让客户满意是我们工作的目标,不断超越客户的期望值来自于我们对这个行业的热爱。我们立志把好的技术通过有效、简单的方式提供给客户,将通过不懈努力成为客户在信息化领域值得信任、有价值的长期合作伙伴,公司提供的服务项目有:域名与空间、网络空间、营销软件、网站建设、石楼网站维护、网站推广。
只需要用任意用户执行
curl https://get.acme.sh | sh
acme.sh 会安装到 ~/.acme.sh/
目录下,并创建新的自动计划(cronjob)在凌晨0点检查所有证书
apache
或是nginx
服务器的情况acme.sh --issue -d <域名> --webroot <网站根目录>
acme.sh --issue -d demo.example.com --webroot /home/wwwroot/demo.example.com/
yum install socat
acme.sh --issue -d demo.example.com --standalone
首先获得认证需要的解析记录
acme.sh --issue --dns -d demo.example.com
然后在DNS服务商中添加记录
最后重新生成证书
acme.sh --renew -d demo.example.com
使用这种方式 acme.sh 将无法自动更新证书,每次都需要手动再次重新解析验证域名所有权。
dns 方式的真正强大之处在于可以使用域名解析商提供的 api 自动添加 txt 记录完成验证
首先需要在云上申请有DNS配置权限的账号密码
参考:
操作方法
在dnspod官网上申请
https://www.dnspod.cn/Login?r=/console
然后登录远程服务器
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
acme.sh --issue --dns dns_dp -d demo.example.com
参考:
操作方法
在阿里云官网登录添加拥有DNS配置权限的子账户 https://ram.console.aliyun.com/overview
然后登录远程服务器
export Ali_Key="AccessKeyId"
export Ali_Secret="AccessKeySecret"
acme.sh --issue --dns dns_ali -d demo.example.com
默认生成的证书都放在安装目录下: ~/.acme.sh/
需要将证书“拷贝”到自定义位置,方便配置,这里的复制需要用acme.sh的自带工具用于日后自动更新
acme.sh --installcert -d demo.example.com \
--key-file /usr/local/nginx/ssl/demo_example_com.key \
--fullchain-file /usr/local/nginx/ssl/demo_example_com.cer \
--reloadcmd "/usr/local/nginx/sbin/nginx -s reload"
暂无
nginx 设置类似如下
server {
listen 443 ssl;
ssl on;
ssl_certificate /usr/local/nginx/ssl/demo_example_com.cer; # 这里指向证书安装的位置
ssl_certificate_key /usr/local/nginx/ssl/demo_example_com.key;
}
参考:https://mikemiao111.com/nginx%E5%A2%9E%E5%BC%BAhttps%E5%AE%89%E5%85%A8%E9%85%8D%E7%BD%AE/
nginx默认采用1024位的加密算法,如果需要的话可以使用2048位的代替,这样可以让加密更安全
首先生成 zjk_zoollcar_top.pem 文件到指定目录
openssl dhparam -out /usr/local/nginx/ssl/demo_example_com.pem 2048
然后在nginx配置文件中设置
server {
listen 443 ssl;
ssl on;
ssl_certificate /usr/local/nginx/ssl/demo_example_com.cer;
ssl_certificate_key /usr/local/nginx/ssl/demo_example_com.key;
ssl_dhparam /usr/local/nginx/ssl/demo_example_com.pem; #新增
}
可以用下面的网站测试SSL安全性
https://www.ssllabs.com/ssltest/
目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.
升级 acme.sh 到最新版 :
acme.sh --upgrade
如果不想手动升级, 可以开启自动升级:
acme.sh --upgrade --auto-upgrade
之后, acme.sh 就会自动保持更新了.
你也可以随时关闭自动更新:
acme.sh --upgrade --auto-upgrade 0