SRE文档acme.sh 实现了 acme 协议, 可以从 letsencrypt 生成免费的证书
1. 安装 acme.sh
curl https://get.acme.sh | sh
source ~/.bashrccurl https://get.acme.sh | sh
source ~/.bashrc普通用户和 root 用户都可以安装使用. 安装过程进行了以下几步: 把 acme.sh 安装到你的 home 目录下:~/.acme.sh/ 并创建 一个 bash 的 alias, 方便你的使用: acme.sh=~/.acme.sh/acme.sh
2). 自动为你创建 cronjob, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书. 更高级的安装选项请参考: https://github.com/Neilpang/acme.sh/wiki/How-to-install 安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中: ~/.acme.sh/
2. 生成泛域名证书
dns 方式的真正强大之处在于可以使用域名解析商提供的 api 自动添加 txt 记录完成验证. acme.sh 目前支持 cloudflare, dnspod, cloudxns, godaddy 以及 ovh 等数十种解析商的自动集成. 以 dnspod 为例, 你需要先登录到 dnspod 账号, 生成你的 api id 和 api key, 都是免费的
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
acme.sh --issue --dns dns_dp -d sundayle.com -d *.sundayle.comexport DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
acme.sh --issue --dns dns_dp -d sundayle.com -d *.sundayle.com3. copy/安装 证书
前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方.
❌ 注意
默认生成的证书都放在安装目录下: ~/.acme.sh/, 请不要直接使用此目录下的文件, 例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件. 这里面的文件都是内部使用, 而且目录结构可能会变化.
安装到nginx
正确的使用方法是使用 –installcert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:
mkdir /etc/nginx/ssl
acme.sh --installcert -d sundayle.com \
--key-file /etc/nginx/ssl/sundayle.com.key \
--fullchain-file /etc/nginx/ssl/sundayle.com.cer \
--reloadcmd "/etc/init.d/nginx force-reload"mkdir /etc/nginx/ssl
acme.sh --installcert -d sundayle.com \
--key-file /etc/nginx/ssl/sundayle.com.key \
--fullchain-file /etc/nginx/ssl/sundayle.com.cer \
--reloadcmd "/etc/init.d/nginx force-reload"必须是 force-reload
--installcert命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效.
查看修改 更新证书计划
crontab -e
nginx的配置
# 80端口直接转到443
server {
listen 80;
server_name www.sundayle.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl http2;
server_name www.sundayle.com;
root /www/sundayle.com;
index index.html;
ssl on;
ssl_certificate /etc/nginx/ssl/sundayle.com.cer;
ssl_certificate_key /etc/nginx/ssl/sundayle.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_buffer_size 1400;
add_header Strict-Transport-Security max-age=15768000;
ssl_stapling on;
ssl_stapling_verify on;
}# 80端口直接转到443
server {
listen 80;
server_name www.sundayle.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl http2;
server_name www.sundayle.com;
root /www/sundayle.com;
index index.html;
ssl on;
ssl_certificate /etc/nginx/ssl/sundayle.com.cer;
ssl_certificate_key /etc/nginx/ssl/sundayle.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_buffer_size 1400;
add_header Strict-Transport-Security max-age=15768000;
ssl_stapling on;
ssl_stapling_verify on;
}刷新nginx服务
service nginx reload
详细参数请参考: https://github.com/Neilpang/acme.sh#3-install-the-issued-cert-to-apachenginx-etc 值得注意的是, 这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用.
4. 更新证书
目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间
5. 更新 acme.sh
目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.
升级 acme.sh 到最新版 :
acme.sh --upgrade 如果你不想手动升级, 可以开启自动升级:
acme.sh --upgrade --auto-upgrade 之后, acme.sh 就会自动保持更新了.
你也可以随时关闭自动更新:
acme.sh --upgrade --auto-upgrade 0
6. 删除不用的证书
acme.sh --list
acme.sh --remove -d example.com
``
# 7. 出错怎么办:
如果出错, 请添加 debug logacme.sh --list
acme.sh --remove -d example.com
``
# 7. 出错怎么办:
如果出错, 请添加 debug log参考:
https://github.com/Neilpang/acme.sh/wikihttps://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md 英文高级配置:https://github.com/Neilpang/acme.sh 中文简单配置:https://github.com/Neilpang/acme.sh/wiki/说明