全站HTTPS升级系列(二)基于 acme.sh从Letsencrypt生成免费的泛域名证书
前言
上篇,咱们科普了HTTPS的简单概念 本篇,咱们介绍基于 acme.sh从Letsencrypt生成免费的泛域名证书html
环境linux
- linux服务器,操做系统为
centos7.2 nginx 1.10.1acme.sh v2.8.0
1、安装acme.sh
# 安装依赖环境
yum -y install curl cron socat
# 下载并安装acme.sh
curl https://get.acme.sh | sh
复制代码
执行上述命令后,会在/root文件夹下创建一个.acme.sh的目录nginx
安装完后执行acme.sh,提示命令没找到。执行以下指令便可centos
source ~/.bashrc
复制代码
2、申请域名解析服务商API token ,完成DNS验证
DNS验证的意义在于证实域名的全部人是你,而不是别人。安全
acme.sh是经过操做当前域名的DNS解析记录,来自动完成DNS校验的,这样省了咱们不少力气,并且不容易出错。bash
可是acme.sh不是随随便便就就能操做当前域名的DNS解析记录的,必须经过当前域名的域名注册服务商受权才能够。这就须要用到了API token服务器
目前acme.sh支持的域名注册服务商有阿里云,亚马逊AWS,微软Azure,DNSPod等微信
若是当前域名是在腾讯云上注册的:curl
本人的域名就是在腾讯云上注册的,先说下本人所经历的一些波折:post
本人的域名是在腾讯云上面注册的,因而想固然的觉得域名的注册服务商就是腾讯云,然而没找到
acme.sh对腾讯云的支持的配置项,让我百思不得其解。 后来看腾讯云后台,看到域名解析服务器地址是f1g1ns1.dnspod.net,猜测莫非腾讯云背后用的是委托dnspod来进行域名解析的? 而后发现了《DNSPod并入腾讯云,创始人吴洪声离开》这条新闻,才知道dnspod和腾讯云是一家。 换句话说,若是你的域名是托管在了腾讯云上面的,那么你域名的解析服务商就是DNSPod。 你能够用腾讯云的帐号或者腾讯云绑定的QQ,微信登陆dsnpod的后台。
登陆 dnspod后台。若是域名是在腾讯云上注册的,那么能够用腾讯云的帐号密码或者腾讯云绑定的QQ、微信登陆。
点击左侧的安全设置,『建立API Token』。
建立成功后,千万记着把ID和Token记录下来,由于窗口一旦关闭信息就没法找回了。
执行以下命令,把DP_Id和DP_Key的值替换成你刚刚申请的id和token(注意空格和中英文引号)
export DP_Id="xxxxxxxx"
export DP_Key="xxxxxxxxxxxxxxxxxxxxxxxxxxxx"
复制代码
若是当前域名是在阿里云上注册的:
请先前往阿里云后台获取App_Key跟App_Secret 。,而后执行如下脚本
# 替换成从阿里云后台获取的密钥
export Ali_Key="xxxx"
export Ali_Secret="xxxxxxxxxxxxxxxxxxxxxxxxxxx"
复制代码
3、生成泛域名证书
acme.sh --issue --dns dns_dp -d msh.com -d *.msh.com
复制代码
正常状况下,该命令执行成功须要120秒。
若是这个过程当中报错,能够加上debug参数,从新执行一遍,查看更详尽的错误缘由(90%的问题都在于token不合法)
acme.sh --issue --dns dns_dp -d msh.com -d *.msh.com --debug 2
复制代码
4、复制证书到指定位置
疑惑: 为何要把acme.sh生成的证书位置从默认生成位置拷贝到其它地方?
解疑: 由于acme.sh生成的文件夹结构可能会变,因此须要将证书复制到别的位置
疑惑: 为何不能手动经过mv 或者 cp命令来复制证书到指定位置?
解疑: SSL证书是有有效期的,到期acme.sh会自动更新你的安全证书,并重启nginx服务器,让证书生效。因此你必须告诉acme.sh你指定的SSL证书存放位置,以及重启nginx服务器的命令。经过--installcert参数,指定的全部参数都会被自动记录下来, 并在未来证书自动更新之后, 被再次自动调用.
以下,本人指定的证书存放目录为/mycertify/ssl 重启nginx服务器的命令为/usr/local/nginx/sbin/nginx -s reload
完整的安装证书命令以下:
acme.sh --installcert -d msh.com --key-file /mycertify/ssl/msh.com.key --fullchain-file /mycertify/ssl/msh.com.cer --reloadcmd "/usr/local/nginx/sbin/nginx -s reload"
复制代码
至此,经过acme.sh生成泛域名证书大功告成。
下篇,咱们讲解如何经过生成的SSL证书,基于nginx配置全站https
系列文章
- 1. 使用acme.sh生成https 免费证书 支持多级域名
- 2. 全站HTTPS升级系列(一)升级前的科普工做
- 3. 全站HTTPS升级系列(三)nginx配置全站HTTPS
- 4. acme.sh 配合 letsencrypt 配置泛域名
- 5. 全站HTTPS升级系列(四)项目代码升级改造
- 6. letsencrypt 免费证书申请
- 7. 使用acme.sh申请&自动续期LetsEncrypt免费SSL证书(转)
- 8. 使用 acme.sh 签发续签 Let‘s Encrypt 证书 泛域名证书
- 9. windows下部署免费ssl证书(letsencrypt)
- 10. Windows下部署免费SSL证书(Letsencrypt)
- 更多相关文章...
- • 网站 域名 - 网站主机教程
- • 免费ARP详解 - TCP/IP教程
- • ☆基于Java Instrument的Agent实现
- • Kotlin学习(二)基本类型
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 使用acme.sh生成https 免费证书 支持多级域名
- 2. 全站HTTPS升级系列(一)升级前的科普工做
- 3. 全站HTTPS升级系列(三)nginx配置全站HTTPS
- 4. acme.sh 配合 letsencrypt 配置泛域名
- 5. 全站HTTPS升级系列(四)项目代码升级改造
- 6. letsencrypt 免费证书申请
- 7. 使用acme.sh申请&自动续期LetsEncrypt免费SSL证书(转)
- 8. 使用 acme.sh 签发续签 Let‘s Encrypt 证书 泛域名证书
- 9. windows下部署免费ssl证书(letsencrypt)
- 10. Windows下部署免费SSL证书(Letsencrypt)