ACME自动申请免费的通配符https域名证书

1.安装acme

在Linux下在线安装脚本,使用以下命令

perl 复制代码
curl https://get.acme.sh | sh -s email=my@example.com

或者:

perl 复制代码
wget -O - https://get.acme.sh | sh -s email=my@example.com

或者git安装:

bash 复制代码
git clone --depth 1 https://github.com/acmesh-official/acme.sh.git
cd acme.sh
./acme.sh --install -m my@example.com

在这一步安装过程中,完成了3个任务: 1、拷贝sh脚本到~/.acme.sh/ 2、创建alias别名acme.sh=~/.acme.sh/acme.sh 如果没有自动创建别名(执行acme.sh,提示command not found),可以使用以下命令自行创建:

ini 复制代码
alias acme.sh='/root/.acme.sh/acme.sh'

3、启动定时器,并加入到定时任务 其中定时任务可以通过"crontab -l"命令查看到,若没有,也可以自行添加,定时任务如下:

javascript 复制代码
0 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

2.DNS API方式申请域名/泛域名证书

签发泛域名证书是最好的方式了,申请一个证书任意二级域名都可以使用,非常方便。 根据你的域名服务商提供的DNS API,并导入DNS API,各域名服务商的DNS API请参考官方说明:github.com/Neilpang/ac... 这里以阿里云为例,在阿里云的控制台里找到自己的DNS API,然后使用以下命令导入到acme.sh中:

阿里云后台创建子账号和分配权限

创建子账号

给刚刚创建的子账号添加权限

将获取到的AccessKey 和 Secret 写到acme.sh.env配置文件里面

bash 复制代码
vim /root/.acme.sh/acme.sh.env

修改后acme.sh.env文件变成:

ini 复制代码
export LE_WORKING_DIR="/root/.acme.sh"
alias acme.sh="/root/.acme.sh/acme.sh"
export Ali_Key="*****"
export Ali_Secret="*******"

执行source 命令

bash 复制代码
source ~/.bashrc

执行env命令查看环境变量,可以查看到刚刚配置的ali_key 跟 ali_secret

申请泛域名证书:

导入域名商的DNS API之后就可以使用以下命令,自动解析DNS(通过api给你的域名添加一条txt解析记录),验证通过后就会下发证书:

css 复制代码
acme.sh --issue --dns dns_ali -d example.com -d *.example.com

证书申请成功后,默认保存在"~/.acme.sh/example.com"目录下。注意:"dns_ali"表示使用阿里云的DNS API,域名商不同的话此处会不同,请参考上述文档。

3.移动证书到指定位置

默认生成的证书都放在安装目录下, 不建议直接通过nginx或apache使用此目录下的证书。正确的使用方法是使用 --install-cert 命令,并指定目标位置,,然后证书文件会被copy到相应的位置,例如: Apache命令如下:

css 复制代码
acme.sh --install-cert -d example.com \
--cert-file /path/to/certfile/in/apache/cert.pem \
--key-file /path/to/keyfile/in/apache/key.pem \
--fullchain-file /path/to/fullchain/certfile/apache/fullchain.pem \
--reloadcmd "service apache2 reload"

Nginx命令如下:

css 复制代码
acme.sh --install-cert -d example.com \
--key-file /path/to/keyfile/in/nginx/key.pem \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd "service nginx reload"

执行该命令后,命令中的参数将自动保存在~/.acme.sh/example.com目录下的example.com.conf文件里,定时器更新证书的时候实现自动部署。 上述命令把下发的证书复制到你指定的位置,这样避免你直接从"~/.acme.sh/"读取证书,然后重新加载nginx或apache以刷新证书。域名为必需参数,其它参数为可选。 但要注意的是,reloadcmd参数非常重要(reloadcmd后面的参数为重新加载nginx或Apache的命令,可以根据系统的不同作相应修改),即使更新了证书,但是nginx或apache没有重新加载,证书是不是会刷新到服务中去的。

4、升级更新acme.sh

升级acme.sh可以使用以下命令:

css 复制代码
acme.sh --upgrade

或者使用自动升级,使用以下命令,有更新就自动更新,不需人工干预:

css 复制代码
acme.sh --upgrade --auto-upgrade

要关闭自动升级使用以下命令:

css 复制代码
acme.sh --upgrade --auto-upgrade 0

5、acme.sh的基本管理:

1、查看acme.sh已签发证书的域名:

css 复制代码
acme.sh --list

2、从acme.sh中移除不需要再次签发证书的域名:

arduino 复制代码
acme.sh --remove -d example.com

3、删除acme.sh

css 复制代码
acme.sh --uninstall
相关推荐
goTsHgo14 分钟前
在 Spring Boot 的 MVC 框架中 路径匹配的实现 详解
spring boot·后端·mvc
waicsdn_haha26 分钟前
Java/JDK下载、安装及环境配置超详细教程【Windows10、macOS和Linux图文详解】
java·运维·服务器·开发语言·windows·后端·jdk
Q_192849990636 分钟前
基于Spring Boot的摄影器材租赁回收系统
java·spring boot·后端
良许Linux41 分钟前
0.96寸OLED显示屏详解
linux·服务器·后端·互联网
求知若饥1 小时前
NestJS 项目实战-权限管理系统开发(六)
后端·node.js·nestjs
左羊1 小时前
【代码备忘录】复杂SQL写法案例(一)
后端
gb42152872 小时前
springboot中Jackson库和jsonpath库的区别和联系。
java·spring boot·后端
程序猿进阶2 小时前
深入解析 Spring WebFlux:原理与应用
java·开发语言·后端·spring·面试·架构·springboot
颜淡慕潇2 小时前
【K8S问题系列 |19 】如何解决 Pod 无法挂载 PVC问题
后端·云原生·容器·kubernetes