用acme.sh自动部署域名证书
用acme.sh自动部署域名证书
安装ACME
目前使用量最大的免费SSL
证书就是Let’s Encrypt
,自2018-03
开始,Let’s Encrypt
官方发布上线了免费的SSL
泛域名证书,目前通过DNS
方式获取比较快,国内可以通过鹅云的DNSPod
域名API
或者猫云域名API
自动签发Let’s Encrypt
泛域名证书。因为鹅云使用的就是DNSPod
域名,并且鹅云和DNSPod的账号是打通的,可以使用wx
直接扫码登录。下文需要对鹅云和DNSPod
进行操作,为了简化证书申请过程,需要提前安装acme.sh。acme.sh
实现了acme
协议,可以从Let’s Encrypt
生成免费的证书,自动创建cron
任务, 每天零点自动检测所有的证书,如果发现证书快过期了,需要更新,则acme.sh
会自动更新证书,安装过程不会污染已有的系统任何功能和文件,所有的修改都限制在安装目录中。
先进行依赖下载和更新。如果服务器是CentOS
系统,使用下面的命令:
yum update && yum install curl -y && yum install cron -y && yum install socat -y
如果服务器是Debian/Ubuntu
系统,则使用下面的命令:
apt-get update && apt-get install curl -y && apt-get install cron -y && apt-get install socat -y
1. 安装 acme.sh
安装很简单, 一个命令:
curl https://get.acme.sh | sh -s email=yourEmail
配置自动解析
以 dnspod 为例, 你需要先登录到 dnspod 账号, 生成你的 api id 和 api key, 都是免费的。
然后配置:
export DP_Id="apiid"
export DP_Key="apikey"
2. 生成证书
手动 dns 方式, 手动在域名上添加一条 txt 解析记录, 验证域名所有权。
这种方式的好处是, 你不需要任何服务器, 不需要任何公网 ip, 只需要 dns 的解析记录即可完成验证. 坏处是,如果不同时配置 Automatic DNS API,使用这种方式 acme.sh 将无法自动更新证书,每次都需要手动再次重新解析验证域名所有权。
~/.acme.sh/acme.sh --issue --dns -d zhaifanhua.com -d *.zhaifanhua.com --yes-I-know-dns-manual-mode-enough-go-ahead-please
然后, acme.sh 会生成相应的解析记录显示出来, 你只需要在你的域名管理面板中添加这条 txt 记录即可.
验证解析生效:
nslookup -q=txt _acme-challenge.zhaifanhua.com
等待解析完成之后, 重新生成证书:
~/.acme.sh/acme.sh --force --renew -d zhaifanhua.com -d *.zhaifanhua.com --yes-I-know-dns-manual-mode-enough-go-ahead-please
3. copy/安装 证书
前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方:
注意, 默认生成的证书都放在安装目录下: ~/.acme.sh/
, 请不要直接使用此目录下的文件, 例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件. 这里面的文件都是内部使用, 而且目录结构可能会变化。
正确的使用方法是使用 --install-cert
命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:
Nginx:
执行命令,这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用。
配置 Nginx 文件:
这里我将其配置到了 /home/ssl 目录下,zhaifanhua.com_key.key 和 zhaifanhua.com_cert.pem 分别是私匙和证书名称,可自定义。
~/.acme.sh/acme.sh --install-cert -d zhaifanhua.com -d *.zhaifanhua.com --key-file /home/ssl/zhaifanhua.com_key.key --fullchain-file /home/ssl/zhaifanhua.com_fullchain.cer --reloadcmd "service nginx force-reload"
(一个小提醒, 这里用的是
service nginx force-reload
, 不是service nginx reload
, 据测试,reload
并不会重新加载证书, 所以用的force-reload
)Nginx 的配置
ssl_certificate
使用/etc/nginx/ssl/fullchain.cer
,而非/etc/nginx/ssl/<domain>.cer
,否则 SSL Labs 的测试会报Chain issues Incomplete
错误。
--install-cert
命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效。详细参数请参考: https://github.com/Neilpang/acme.sh#3-install-the-issued-cert-to-apachenginx-etc
显示 Reload success 表示成功!
4. 查看已安装证书信息
查看/删除证书
查看证书
~/.acme.sh/acme.sh --list
删除证书
~/.acme.sh/acme.sh remove <SAN_Domains>
查看信息
~/.acme.sh/acme.sh --info -d zhaifanhua.com -d *.zhaifanhua.com
5. 更新证书
目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.
请确保 cronjob 正确安装, 看起来是类似这样的:
crontab -l*/5 * * * * flock -xn /tmp/stargate.lock -c '/usr/local/qcloud/stargate/admin/start.sh > /dev/null 2>&1 &'
0 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
6. 关于修改ReloadCmd
目前修改ReloadCmd
没有专门的命令,可以通过重新安装证书来实现修改reloadCmd
的目的。 此外,安装证书后,相关信息是保存在~/.acme.sh/example.com/example.conf
文件下的,内容就是acme.sh --info -d example.com
输出的信息,不过ReloadCmd
在文件中使用了Base64编码。理论上可以通过直接修改该文件来修改ReloadCmd
,且修改时,无需Base64编码,直接写命令原文acme.sh
也可以识别。 不过,example.conf
文件的位置和内容格式以后可能会改变!example.conf
一直都是内部使用, 后面有可能会改为用 sqlite 或者mysql 格式存储. 所以一般不建议自己修改。
7. 更新 acme.sh
目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.
升级 acme.sh 到最新版 :
acme.sh --upgrade
如果你不想手动升级, 可以开启自动升级:
acme.sh --upgrade --auto-upgrade
之后, acme.sh 就会自动保持更新了.
你也可以随时关闭自动更新:
acme.sh --upgrade --auto-upgrade 0
8. 出错怎么办:
如果出错, 请添加 debug log:
acme.sh --issue ..... --debug
或者:
acme.sh --issue ..... --debug 2
用acme.sh自动部署域名证书相关推荐
- 基于 acme.sh 自动申请域名证书(群晖 Docker)
本文介绍如何使用 Docker 镜像 acme.sh,实现名证书自动申请和续签功能. acme.sh 可以从 letsencrypt 生成免费的证书,支持 Docker 部署,支持 http 和 DN ...
- 【群晖】命令行 acme.sh 自动申请域名证书
记录一下,如果遗忘了,自己一看就了解. 一:DNS API 我使用的是阿里云 二: 下载acme:GitHub - acmesh-official/acme.sh: A pure Unix shell ...
- 用acme.sh给网站域名,申请免费SSL永久证书(自动续期)
一:简介 申请ssl证书,即https有很多,有免费的,也有收费的.如第三方域名管理cloudflare也可以自动添加使用https,而且永久. 但是由于有些服务,需要在服务器使用自签证书,所以需要自 ...
- Acme.sh 自动生成、续期 Let‘s Encrypt 免费SSL证书
Let's Encrypt 提供了90天免费证书,而 acme.sh 实现了 acme 协议, 可以从 Let's Encrypt 生成免费的证书.,通过计划任务可实现自动续期,自动部署,完全 ...
- acme云服务器生成证书_如何让docker 部署的nginx上通过acme.sh安装ssl/https 证书
本篇文章是教大家如何在docker部署的nginx上通过acme.sh安装ssl/https 证书. 由于文中例子是通过acme.sh的http验证方式生成证书,所以在此之前,必须保证你的网站能通过h ...
- acme.sh申请免费SSL证书,泛域名证书,多域名证书
acme.sh可以通过acme协议生成Let's Encrypt颁发的SSL证书. Let's Encrypt 提供了单域名证书,泛域名证书和多域名证书 0.GitHub地址 1.在线安装 curl ...
- 使用 acme.sh 配置 https 免费证书
官方文档 安装acme.sh curl https://get.acme.sh | sh 如果此方式安装失败,可以使用 git 安装 git clone https://github.com/acme ...
- acme.sh免费签发SSL证书
acme.sh 概述 一个纯粹用Shell(Unix shell)语言编写的ACME协议客户端. 完整的ACME协议实施. 支持ACME v1和ACME v2 支持ACME v2通配符证书 简单,功能 ...
- 安装acme.sh生成免费https证书
1. 安装 curl https://get.acme.sh | sh 如果出现Failed to connect to raw.githubusercontent.com port 443错误,解决 ...
最新文章
- 我要是长得和姚明一样高,是不是也能打进NBA?
- nc 探测端口_防盗报警探测器的几种防拆接线方式,附接线图
- 第五十期:详解语音识别技术的发展
- redis 系列7 数据结构之跳跃表
- 深入理解Golang之context
- XSS,CSRF防范 也是慢慢更
- Y15BeTa的乱搞方法(占坑待填)
- 用java实现学生成绩管理系统(附有详细代码)
- IE浏览器打开闪退,崩溃的场景重置
- 20190801H3C无线控制器3510H 版本升级总结
- 计算机用户里的AppData,AppData是什么意思,Appdata文件夹可以删除吗?
- 中国养蚕及深加工市场盈利模式与投资价值评估报告(2022-2027年)
- SDUTOJ 2777 小P的故事——神奇的换零钱 背包
- VTK和numpy的整合
- 为什么图片和PDF合并后的PDF页面大小不一
- Axure 9 基本原件样式设置
- 碧山计划对乡土遗产保护的启示
- STM32开发实例 基于STM32单片机的室外环境监测系统
- H3C防火墙F1060上网以及配置策略路由
- 南卡和华为降噪耳机哪款更值得入手?两款国产降噪耳机对比测评
热门文章
- Linux实现上传文件到百度网盘
- React结合虚拟列表VirtualList的动态获取列表项高度问题
- vue中 element-ui引入阿里巴巴图标库两种办法
- QT QGC 中 error: C2220: 警告被视为错误 - 没有生成“object”文件
- java pmd 安装_PMD使用教程【转】
- 《观远数据安全白皮书》首发,打开数据安全保护新思路
- Linux:如何强制杀死一个进程和杀死多个进程
- SpringBoot —— 整合mybatis+微服务注册
- ChatGPT平替工具claude,无需梯子,保姆级安装教程
- 笔记本连接蓝牙未能成功安装设备驱动程序怎么办