使用acme.sh进行ssl申请和自动续约
本文以demo.example.com为例,详细介绍了使用acme.sh进行ssl申请和自动续约的方法html
安装
只须要用任意用户执行nginx
curl https://get.acme.sh | sh
acme.sh 会安装到 ~/.acme.sh/目录下,并建立新的自动计划(cronjob)在凌晨0点检查全部证书web
生成证书的方式主要有三种
- 网站文件方式,适合于已经部署好
apache或是nginx服务器的状况 - 临时监听80端口方式,适合于没有部署好服务的服务器
- 手动配置DNS,须要有手动配置DNS的权限,适合没有服务器或是不想更改服务器的状况
1.文件认证
acme.sh --issue -d <域名> --webroot <网站根目录> acme.sh --issue -d demo.example.com --webroot /home/wwwroot/demo.example.com/
2.暂时监听80端口
yum install socat acme.sh --issue -d demo.example.com --standalone
3. DNS方式
手动方式
首先得到认证须要的解析记录算法
acme.sh --issue --dns -d demo.example.com
而后在DNS服务商中添加记录
最后从新生成证书apache
acme.sh --renew -d demo.example.com
使用这种方式 acme.sh 将没法自动更新证书,每次都须要手动再次从新解析验证域名全部权。api
自动方式
dns 方式的真正强大之处在于可使用域名解析商提供的 api 自动添加 txt 记录完成验证安全
首先须要在云上申请有DNS配置权限的帐号密码服务器
腾讯云
参考:
操做方法dom
在dnspod官网上申请
https://www.dnspod.cn/Login?r=/consolecurl
而后登陆远程服务器
export DP_Id="1234" export DP_Key="sADDsdasdgdsf" acme.sh --issue --dns dns_dp -d demo.example.com
阿里云
参考:
操做方法
在阿里云官网登陆添加拥有DNS配置权限的子帐户 https://ram.console.aliyun.com/overview
而后登陆远程服务器
export Ali_Key="AccessKeyId" export Ali_Secret="AccessKeySecret" acme.sh --issue --dns dns_ali -d demo.example.com
证书的安装
默认生成的证书都放在安装目录下: ~/.acme.sh/
须要将证书“拷贝”到自定义位置,方便配置,这里的复制须要用acme.sh的自带工具用于往后自动更新
acme.sh --installcert -d demo.example.com \
--key-file /usr/local/nginx/ssl/demo_example_com.key \
--fullchain-file /usr/local/nginx/ssl/demo_example_com.cer \
--reloadcmd "/usr/local/nginx/sbin/nginx -s reload"
apache服务器的配置
暂无
nginx服务器的配置
nginx 设置相似以下
server {
listen 443 ssl;
ssl on;
ssl_certificate /usr/local/nginx/ssl/demo_example_com.cer; # 这里指向证书安装的位置
ssl_certificate_key /usr/local/nginx/ssl/demo_example_com.key;
}
让你的SSL更安全
参考:https://mikemiao111.com/nginx%E5%A2%9E%E5%BC%BAhttps%E5%AE%89%E5%85%A8%E9%85%8D%E7%BD%AE/
nginx默认采用1024位的加密算法,若是须要的话可使用2048位的代替,这样可让加密更安全
首先生成 zjk_zoollcar_top.pem 文件到指定目录
openssl dhparam -out /usr/local/nginx/ssl/demo_example_com.pem 2048
而后在nginx配置文件中设置
server {
listen 443 ssl;
ssl on;
ssl_certificate /usr/local/nginx/ssl/demo_example_com.cer;
ssl_certificate_key /usr/local/nginx/ssl/demo_example_com.key;
ssl_dhparam /usr/local/nginx/ssl/demo_example_com.pem; #新增
}
能够用下面的网站测试SSL安全性
https://www.ssllabs.com/ssltest/
更新 acme.sh
目前因为 acme 协议和 letsencrypt CA 都在频繁的更新, 所以 acme.sh 也常常更新以保持同步.
升级 acme.sh 到最新版 :
acme.sh --upgrade
若是不想手动升级, 能够开启自动升级:
acme.sh --upgrade --auto-upgrade
以后, acme.sh 就会自动保持更新了.
你也能够随时关闭自动更新:
acme.sh --upgrade --auto-upgrade 0
- 1. 使用acme.sh申请&自动续期LetsEncrypt免费SSL证书(转)
- 2. HTTPS之acme.sh申请证书
- 3. acme.sh 申请通配符证书
- 4. SSL证书申请及使用
- 5. ssl证书如何申请及使用
- 6. 申请SSL证书
- 7. 免费SSL申请
- 8. SSL证书申请
- 9. ssl 证书申请
- 10. 让网站永久拥有HTTPS - 申请免费SSL证书并自动续期
- 更多相关文章...
- • 使用TCP协议进行路由跟踪 - TCP/IP教程
- • 使用UDP协议进行路由跟踪 - TCP/IP教程
- • Composer 安装与使用
- • SpringBoot中properties文件不能自动提示解决方法
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 使用acme.sh申请&自动续期LetsEncrypt免费SSL证书(转)
- 2. HTTPS之acme.sh申请证书
- 3. acme.sh 申请通配符证书
- 4. SSL证书申请及使用
- 5. ssl证书如何申请及使用
- 6. 申请SSL证书
- 7. 免费SSL申请
- 8. SSL证书申请
- 9. ssl 证书申请
- 10. 让网站永久拥有HTTPS - 申请免费SSL证书并自动续期