侧边栏壁纸
博主头像
欧泡果奶的小站

  • 累计撰写 84 篇文章
  • 累计创建 34 个标签
  • 累计收到 0 条评论

目 录CONTENT

文章目录
Nginx

安装泛域名https证书

欧泡果奶
欧泡果奶
2022-05-25 / 0 评论 / 0 点赞 / 593 阅读 / 0 字

1. 安装

1.1 在线安装

curl https://get.acme.sh | sh -s email=ochh01@163.com

1.2 离线安装acme.sh

yum install socat -y

git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m ochh01@163.com

安装过程进行了以下几步:

  1. 把 acme.sh 安装到你的 home 目录下
  2. 自动创建 cronjob 定时任务, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书。

如果出现了红色的提醒:

It is recommended to install socat first,
We use socat for standalone server if you use standalone mode.
If you don't use standalone mode, just ignore this warning.

yum install socat -y

如果提示找不到:

yum install epel-release -y

2. 生成证书

acme.sh 实现了 acme 协议支持的所有验证协议. 一般有两种方式验证: http 和 dns 验证.

因为此次要生成泛域名证书,所以采用 dns 方式, 验证域名所有权。

这里使用域名解析商提供的 api 自动添加 txt 记录完成验证。

以 dnspod 为例,你需要先登录到 dnspod 账号,生成你的 api id 和 api key,都是免费的。 然后:

export DP_Id="1234"

export DP_Key="sADDsdasdgdsf"

./acme.sh --issue --dns dns_dp -d ochaly.com -d *.ochaly.com

证书就会自动生成了. 这里给出的 api id 和 api key 会被自动记录下来, 将来你在使用 dnspod api 验证别的域名的时候, 就不需要再次指定了. 直接生成就好了

./acme.sh --issue -d ochaly.com -d *.ochaly.com

更多域名解析商 api 的用法: https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md
阿里云用法:

export Ali_Key="1234"
export Ali_Secret="sADDsdasdgdsf"

./acme.sh --issue --dns dns_ali -d example.com -d *.example.com

3. copy/安装 证书

前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方.

默认生成的证书都放在安装目录下: `~/.acme.sh/`, 请不要直接使用此目录下的文件 例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件. 这里面的文件都是内部使用, 而且目录结构可能会变化.

正确的使用方法是使用 --install-cert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:

Nginx example:

./acme.sh --install-cert -d ochaly.com \
--key-file       /usr/local/nginx/cert/ochaly.com.key  \
--fullchain-file /usr/local/nginx/cert/ochaly.com.crt \
--reloadcmd     "nginx -s reload"

路径根据自己需要修改。
--install-cert命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用, 让服务器生效.
这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用.

4. 查看已安装证书信息

./acme.sh --info -d ochaly.com

5. 更新证书

目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.

请确保 cronjob 正确安装, 看起来是类似这样的:

crontab  -l

9 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

6. 卸载证书

./acme.sh --remove -d example.com

证书/密钥文件不会从磁盘中删除。

你可以自己删除相应的目录(例如)。~/.acme.sh/example.com

补充

修改默认CA

当前版本 acme.sh 默认CA使用 ZeroSSL ,如果颁发失败,可以将默认CA修改为 Let's Encrypt

./acme.sh --set-default-ca --server letsencrypt

更多CA可以参考:https://github.com/acmesh-official/acme.sh/wiki/Server

关于修改ReloadCmd

目前修改ReloadCmd没有专门的命令,可以通过重新安装证书来实现修改reloadCmd的目的。

此外,安装证书后,相关信息是保存在~/.acme.sh/example.com/example.conf文件下的,内容就是acme.sh --info -d example.com输出的信息,不过ReloadCmd在文件中使用了Base64编码。理论上可以通过直接修改该文件来修改ReloadCmd,且修改时,无需Base64编码,直接写命令原文acme.sh也可以识别。 不过,example.conf文件的位置和内容格式以后可能会改变!example.conf一直都是内部使用, 后面有可能会改为用 sqlite 或者mysql 格式存储. 所以一般不建议自己修改。

更新 acme.sh

目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.

./acme.sh --upgrade
0
HTTPS Nginx
版权归属: 欧泡果奶
本文链接: https://blog.bughole.cn/archives/ael9hf57
许可协议: 本文使用《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》协议授权

评论区