阿里云服务器采用crontab定时任务使acme.sh全自动化申请续签免费SSL证书,并部署在Linux宝塔网站和雷池WAF

皓月盈江2025-05-29 15:39

阿里云服务器安装Linux宝塔面板用于部署网站,又安装了雷池WAF用于防护网站,网站访问正常。可以参考文章:Linux服务器安装Linux宝塔面板并部署wordpress网站以及雷池WAF

本文介绍使用 acme.sh 通过 DNS API 全自动申请和续签免费Let's Encrypt SSL 证书,本文只做单域名详细介绍。

一、安装 acme.sh

1.使用SSH远程登陆阿里云服务器,本文以root账户登陆介绍,[email protected]替换成自己邮箱即可。

bash 复制代码 
# 使用一键脚本安装
curl https://get.acme.sh | sh -s [email protected]

从上面可以看到acme.sh安装到了路径/root/.acme.sh/acme.sh

2.重新加载环境变量和切换CA证书类型

bash 复制代码 
# 重新加载环境变量
source ~/.bashrc

#  CA证书类型默认使用ZeroSSL,切换成Let's Encrypt
acme.sh --set-default-ca --server letsencrypt

3.安装成功后,终端输入acme.sh -h便可以看到帮助命令。

二、配置阿里云DNS API

1.通过阿里云服务器提供的API,让acme.sh自动创建域名验证记录以申请域名证书。首先登陆阿里云控制台 - 访问控制 RAM - 身份管理 - 用户 - 创建用户

2.填写登录名称,勾选使用永久AccessKey访问,确定

完成后,分别复制AccessKey IDAccessKey Secret的值,保存并一定做好备份!

3.按照下图,选中这个用户,点击下方的添加权限。搜索DNS,选择AliyunDNSFullAccess点击确认添加权限

4.在终端中配置环境变量(复制到终端中执行):

bash 复制代码 
export Ali_Key="LTAI5txxxxxxxxxxxxx"
export Ali_Secret="TJHStNFrxxxxxxxxxxxxxxxxxxx"
三、申请SSL证书

本文只介绍单域名证书申请命令: (本例演示域名:www.test.com,使用时替换为自己域名即可。)

bash 复制代码 
/root/.acme.sh/acme.sh --issue --dns dns_ali -d www.test.com

命令解析

  • /root/.acme.sh/acme.sh :这是 acme.sh 客户端的安装路径。通常情况下,acme.sh 会安装在用户的主目录下的 .acme.sh 文件夹中。
  • --issue:表示申请证书。
  • --dns dns_ali :指定使用阿里云的 DNS API 来验证域名所有权。dns_aliacme.sh 内置的阿里云 DNS 插件。
  • -d www.test.com :指定要申请证书的域名, 本例演示域名:www.test.com,使用时替换为自己域名即可。
四、部署SSL证书到Web服务器(Linux宝塔面板)

存放acme申请签发的SSL证书目录(root账户的家目录是/root),acme默认安装路径/root/.acme.sh/acme.sh

SSL证书默认存储在 ~/.acme.sh/www.test.com_ecc/,用root账户登陆,所以SSL证书默认存储在/root/.acme.sh/www.test.com_ecc/,

acme申请签发的SSL证书-密钥(KEY)文件路径: /root/.acme.sh/www.test.com_ecc/www.test.com.key;acme申请签发的SSL证书-证书(cer)文件路径: /root/.acme.sh/www.test.com_ecc/fullchain.cer

但需手动执行命令复制到Web 服务器目录。

注意:确保证书存放的目录已创建

在部署SSL证书之前,我们首先要确定原有ssl证书的位置。一般在你的nginx配置文件中,登陆Linux宝塔面板后台可以查看:

可以看到ssl证书的路径:(本例演示域名:www.test.com68.162.x.x是服务器IP,也是网站根目录名称。)

bash 复制代码 
ssl_certificate    /www/server/panel/vhost/cert/68.162.x.x/fullchain.pem;
ssl_certificate_key    /www/server/panel/vhost/cert/68.162.x.x/privkey.pem;

所以部署SSL证书到 Web 服务器(Linux宝塔面板)命令如下:

bash 复制代码 
/root/.acme.sh/acme.sh --install-cert -d www.test.com \
--key-file "/www/server/panel/vhost/cert/68.162.x.x/privkey.pem"  \
--fullchain-file "/www/server/panel/vhost/cert/68.162.x.x/fullchain.pem" \
--reloadcmd "service nginx force-reload"

这段命令是用于安装 SSL 证书的,具体是通过 acme.sh 脚本将 Let's Encrypt 颁发的 SSL 证书安装到指定的路径,并重新加载 Nginx 服务以使证书生效。以下是命令的详细解释:

命令解析

  1. /root/.acme.sh/acme.sh --install-cert -d www.test.com

    • /root/.acme.sh/acme.sh:指定 acme.sh 脚本的路径。acme.sh 是一个用于自动化申请和管理 Let's Encrypt SSL 证书的工具。
    • --install-cert:表示安装证书。
    • -d www.test.com:指定需要安装证书的域名,这里是 www.test.com,本例演示域名:www.test.com,使用时替换为自己域名即可。

  2. --key-file "/www/server/panel/vhost/cert/68.162.x.x/privkey.pem"

    • --key-file:指定私钥文件的路径。
    • "/www/server/panel/vhost/cert/68.162.x.x/privkey.pem":私钥文件的完整路径。privkey.pem 是 Let's Encrypt 颁发的私钥文件。

  3. --fullchain-file "/www/server/panel/vhost/cert/68.162.x.x/fullchain.pem"

    • --fullchain-file:指定证书链文件的路径。
    • "/www/server/panel/vhost/cert/68.162.x.x/fullchain.pem":证书链文件的完整路径。fullchain.pem 是包含证书和中间证书的文件。

  4. --reloadcmd "service nginx force-reload"

    • --reloadcmd:指定在证书安装完成后需要执行的命令。
    • "service nginx force-reload":强制重新加载 Nginx 服务,使 SSL 证书生效。
五、部署SSL证书到雷池WAF

雷池WAF的默认SSL证书目录/data/safeline/resources/nginx/certs,雷池WAF安装SSL证书,要求WAF版本 >= 7.2.0,获取证书后覆盖上述文件即可,WAF定时更新:WAF默认每小时刷新一次证书内容

可以参考雷池WAF官方给出的说明:如何在雷池 WAF 通过文件更新 SSL 证书

所以部署SSL证书到雷池WAF命令如下:

bash 复制代码 
cp /root/.acme.sh/www.test.com_ecc/fullchain.cer /data/safeline/resources/nginx/certs/cert_1.crt
cp /root/.acme.sh/www.test.com_ecc/www.test.com.key /data/safeline/resources/nginx/certs/cert_1.key
六、使用Linux shell写成全自动执行脚本

经过前面五个步骤,可以成功更新SSL证书了。但是手动执行命令繁琐,经过多次实际测试调试脚本,我们可以使用Linux Shell脚本acme_deploy_ssl.sh实现全自动化申请续签免费SSL证书,并部署在Linux宝塔网站和雷池WAF。

只需要修改前面2个变量WEB_DOMAIN和WEB_ROOT_NAME值

==================================================

#网站申请SSL证书的域名(www.test.com替换成自己实际域名即可

WEB_DOMAIN="www.test.com"

#网站根目录名称(68.162.x.x替换成自己实际网站根目录名称即可

WEB_ROOT_NAME="68.162.x.x"

==================================================

acme_deploy_ssl.sh脚本如下:

powershell 复制代码 
#功能:acme.h自动申请签发SSL证书,Linux宝塔网站和雷池WAF更新SSL证书的shell脚本
#!/bin/bash

#网站申请SSL证书的域名(www.test.com替换成自己实际域名即可)
WEB_DOMAIN="www.test.com"
#网站根目录名称(68.162.x.x替换成自己实际网站根目录名称即可)
WEB_ROOT_NAME="68.162.x.x"

#1.存放acme申请签发的SSL证书目录(root账户的家目录是/root),acme默认安装路径/root/.acme.sh/acme.sh
#2.acme申请签发的SSL证书-密钥(KEY)文件,Your cert key is in: /root/.acme.sh/www.test.com_ecc/www.test.com.key
#3.acme申请签发的SSL证书-证书(cer)文件,And the full-chain cert is in: /root/.acme.sh/www.test.com_ecc/fullchain.cer
CERT_DIR="/root/.acme.sh/${WEB_DOMAIN}_ecc"
#Linux宝塔面板的SSL证书目录
BT_SSL_DIR="/www/server/panel/vhost/cert"
#雷池WAF的默认SSL证书目录
WAF_SSL_DIR="/data/safeline/resources/nginx/certs"


cd ~

current_datetime=$(date "+%Y-%m-%d %H:%M:%S")
echo "$current_datetime acme开始申请签发SSL证书......"
	
#acme申请签发SSL证书
/root/.acme.sh/acme.sh --issue --dns dns_ali -d "$WEB_DOMAIN"

sleep 15 #延时15s

#判断acme是否申请签发SSL证书成功?
if [ -f "$CERT_DIR/fullchain.cer" ] && [ -f "$CERT_DIR/${WEB_DOMAIN}.key" ]; then
	current_datetime_1=$(date "+%Y-%m-%d %H:%M:%S")
	current_datetime_2=${current_datetime_1//:/-}
	current_datetime_2=${current_datetime_2// /_}
	echo "$current_datetime_1 acme申请签发SSL证书成功"
  
  	#Linux宝塔面板安装SSL证书
	/root/.acme.sh/acme.sh --install-cert -d "$WEB_DOMAIN" \
	--key-file "$BT_SSL_DIR/$WEB_ROOT_NAME/privkey.pem"  \
	--fullchain-file "$BT_SSL_DIR/$WEB_ROOT_NAME/fullchain.pem" \
	--reloadcmd "service nginx force-reload"
	
	current_datetime_1=$(date "+%Y-%m-%d %H:%M:%S")
	echo "$current_datetime_1 Linux宝塔网站更新SSL证书成功"
	sleep 10 #延时10s

	#雷池WAF安装SSL证书,要求WAF版本 >= 7.2.0,获取证书后覆盖上述文件即可,WAF默认每小时刷新一次证书内容
	cp "$CERT_DIR/fullchain.cer" "$WAF_SSL_DIR/cert_1.crt"
	cp "$CERT_DIR/${WEB_DOMAIN}.key" "$WAF_SSL_DIR/cert_1.key"
	
	current_datetime_1=$(date "+%Y-%m-%d %H:%M:%S")
	echo "$current_datetime_1 雷池WAF更新SSL证书成功"
	
	#备份,重命名acme申请签发的SSL证书文件
	mv "$CERT_DIR/fullchain.cer" "$CERT_DIR/${current_datetime_2}_fullchain.pem"
	mv "$CERT_DIR/${WEB_DOMAIN}.key" "$CERT_DIR/${current_datetime_2}_${WEB_DOMAIN}.key"
else
	current_datetime=$(date "+%Y-%m-%d %H:%M:%S")
	echo "$current_datetime acme申请签发SSL证书失败"
fi

sleep 30 #30s后关闭脚本
exit 0
七、Linux Shell脚本acme_deploy_ssl.sh上传到云服务器测试

1.使用FileZilla远程上传工具,把Linux Shell脚本acme_deploy_ssl.sh上传到云服务器的家目录~下:/root,使用命令ls -l查看下/root目录下文件及权限。

使用下面命令给acme_deploy_ssl.sh文件添加执行权限

bash 复制代码 
chmod +x acme_deploy_ssl.sh

bash 复制代码 
chmod 755 acme_deploy_ssl.sh

再次使用命令ls -l查看下acme_deploy_ssl.sh文件已有执行权限。

3.使用下面命令运行acme_deploy_ssl.sh

bash 复制代码 
./acme_deploy_ssl.sh

可以看到acme.h申请签发SSL证书,并把SSL证书部署到Linux宝塔面板和雷池WAF的运行过程。

4.登陆Linux宝塔面板,查看SSL证书到期时间,已成功续签SSL证书

5.登陆雷池WAF,查看SSL证书到期时间,已成功续签SSL证书

八、添加crontab定时任务实现无人自动部署

如果我们使用 curl https://get.acme.sh | sh 方式安装,默认续期任务会自动在定时任务中配置。一定要注释掉acme.h默认续期任务,添加自己的续期任务。

bash 复制代码 
#设置每月执行一次的续期定时任务(每月第一天)
0 0 1 * * /root/acme_deploy_ssl.sh &>> /root/.acme.sh/acme_ssl.log

关于crontab定时任务知识可以参考文章:

Linux系统通过编辑crontab来设置定时任务---定时关机

相关推荐
SSOA61 小时前
群辉(synology)NAS老机器连接出现网页端可以进入,但是本地访问输入一样的账号密码是出现错误时解决方案
服务器·网络存储·私有云·nas·synology·群辉
昭阳~2 小时前
LVS+Keepalived 高可用群集
服务器·网络·lvs
阿巴阿巴拉3 小时前
Spark-Core Project
linux·运维·服务器
ikun·3 小时前
LVS + Keepalived 高可用群集
运维·服务器·lvs
持之以恒的天秤3 小时前
序列化与反序列化
linux·服务器
Pseudo…3 小时前
LVS+keepalived高可用群集
运维·服务器·lvs
国际云,接待3 小时前
微软云如何申请使用
服务器·云原生·架构·微软·云计算·量子计算
眠修3 小时前
LVS + Keepalived 高可用群集
运维·服务器·lvs
别骂我h4 小时前
部署LVS-DR群集
linux·服务器·lvs
XINVRY-FPGA4 小时前
XCVP1902-2MSEVSVA6865 Xilinx FPGA Versal Premium SoC/ASIC
嵌入式硬件·安全·阿里云·ai·fpga开发·云计算·fpga
热门推荐
01从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04DeepSeek各版本说明与优缺点分析05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06组基轨迹建模 GBTM的介绍与实现(Stata 或 R)07【2025年最新】OpenWrt 更换国内源的指南(图形界面版)08VMware虚拟机安装Win7专业版保姆级教程(附镜像包)09Coze扣子平台完整体验和实践(附国内和国际版对比)10【超详细】Windows安装Npcap