前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >用acme.sh自动部署域名证书

用acme.sh自动部署域名证书

作者头像
摘繁华
发布2022-12-05 14:21:22
2.7K0
发布2022-12-05 14:21:22
举报
文章被收录于专栏:摘繁华

用acme.sh自动部署域名证书

安装ACME

目前使用量最大的免费SSL证书就是Let’s Encrypt,自2018-03开始,Let’s Encrypt官方发布上线了免费的SSL泛域名证书,目前通过DNS方式获取比较快,国内可以通过鹅云的DNSPod域名API或者猫云域名API自动签发Let’s Encrypt泛域名证书。因为鹅云使用的就是DNSPod域名,并且鹅云和DNSPod的账号是打通的,可以使用wx直接扫码登录。下文需要对鹅云和DNSPod进行操作,为了简化证书申请过程,需要提前安装acme.shacme.sh实现了acme协议,可以从Let’s Encrypt生成免费的证书,自动创建cron任务, 每天零点自动检测所有的证书,如果发现证书快过期了,需要更新,则acme.sh会自动更新证书,安装过程不会污染已有的系统任何功能和文件,所有的修改都限制在安装目录中。

先进行依赖下载和更新。如果服务器是CentOS系统,使用下面的命令:

代码语言:javascript
复制
yum update && yum install curl -y && yum install cron -y && yum install socat -y

如果服务器是Debian/Ubuntu系统,则使用下面的命令:

代码语言:javascript
复制
apt-get update && apt-get install curl -y && apt-get install cron -y && apt-get install socat -y

1. 安装 acme.sh

安装很简单, 一个命令:

代码语言:javascript
复制
curl https://get.acme.sh | sh -s email=yourEmail

配置自动解析

以 dnspod 为例, 你需要先登录到 dnspod 账号, 生成你的 api id 和 api key, 都是免费的。

然后配置:

代码语言:javascript
复制
export DP_Id="apiid"
export DP_Key="apikey"

2. 生成证书

手动 dns 方式, 手动在域名上添加一条 txt 解析记录, 验证域名所有权。

这种方式的好处是, 你不需要任何服务器, 不需要任何公网 ip, 只需要 dns 的解析记录即可完成验证. 坏处是,如果不同时配置 Automatic DNS API,使用这种方式 acme.sh 将无法自动更新证书,每次都需要手动再次重新解析验证域名所有权。

代码语言:javascript
复制
~/.acme.sh/acme.sh --issue --dns -d zhaifanhua.com -d *.zhaifanhua.com --yes-I-know-dns-manual-mode-enough-go-ahead-please

然后, acme.sh 会生成相应的解析记录显示出来, 你只需要在你的域名管理面板中添加这条 txt 记录即可.

验证解析生效:

代码语言:javascript
复制
nslookup -q=txt _acme-challenge.zhaifanhua.com

等待解析完成之后, 重新生成证书:

代码语言:javascript
复制
~/.acme.sh/acme.sh --force --renew -d zhaifanhua.com -d *.zhaifanhua.com --yes-I-know-dns-manual-mode-enough-go-ahead-please

3. copy/安装 证书

前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方:

注意, 默认生成的证书都放在安装目录下: ~/.acme.sh/, 请不要直接使用此目录下的文件, 例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件. 这里面的文件都是内部使用, 而且目录结构可能会变化。

正确的使用方法是使用 --install-cert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:

Nginx:

执行命令,这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用。

配置 Nginx 文件:

这里我将其配置到了 /home/ssl 目录下,zhaifanhua.com_key.key 和 zhaifanhua.com_cert.pem 分别是私匙和证书名称,可自定义。

代码语言:javascript
复制
~/.acme.sh/acme.sh --install-cert -d zhaifanhua.com -d *.zhaifanhua.com --key-file /home/ssl/zhaifanhua.com_key.key --fullchain-file /home/ssl/zhaifanhua.com_fullchain.cer --reloadcmd "service nginx force-reload"

(一个小提醒, 这里用的是 service nginx force-reload, 不是 service nginx reload, 据测试, reload 并不会重新加载证书, 所以用的 force-reload) Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer ,而非 /etc/nginx/ssl/<domain>.cer ,否则 SSL Labs 的测试会报 Chain issues Incomplete 错误。 --install-cert命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效。 详细参数请参考: https://github.com/Neilpang/acme.sh#3-install-the-issued-cert-to-apachenginx-etc

显示 Reload success 表示成功!

4. 查看已安装证书信息

查看/删除证书

查看证书

代码语言:javascript
复制
~/.acme.sh/acme.sh --list

删除证书

代码语言:javascript
复制
~/.acme.sh/acme.sh remove <SAN_Domains>

查看信息

代码语言:javascript
复制
~/.acme.sh/acme.sh --info -d zhaifanhua.com -d *.zhaifanhua.com

5. 更新证书

目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.

请确保 cronjob 正确安装, 看起来是类似这样的:

代码语言:javascript
复制
crontab  -l

*/5 * * * * flock -xn /tmp/stargate.lock -c '/usr/local/qcloud/stargate/admin/start.sh > /dev/null 2>&1 &'
0 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

6. 关于修改ReloadCmd

目前修改ReloadCmd没有专门的命令,可以通过重新安装证书来实现修改reloadCmd的目的。 此外,安装证书后,相关信息是保存在~/.acme.sh/example.com/example.conf文件下的,内容就是acme.sh --info -d example.com输出的信息,不过ReloadCmd在文件中使用了Base64编码。理论上可以通过直接修改该文件来修改ReloadCmd,且修改时,无需Base64编码,直接写命令原文acme.sh也可以识别。 不过,example.conf文件的位置和内容格式以后可能会改变!example.conf一直都是内部使用, 后面有可能会改为用 sqlite 或者mysql 格式存储. 所以一般不建议自己修改。

7. 更新 acme.sh

目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.

升级 acme.sh 到最新版 :

代码语言:javascript
复制
acme.sh --upgrade

如果你不想手动升级, 可以开启自动升级:

代码语言:javascript
复制
acme.sh --upgrade --auto-upgrade

之后, acme.sh 就会自动保持更新了.

你也可以随时关闭自动更新:

代码语言:javascript
复制
acme.sh --upgrade --auto-upgrade  0

8. 出错怎么办:

如果出错, 请添加 debug log:

代码语言:javascript
复制
acme.sh --issue  .....  --debug 

或者:

代码语言:javascript
复制
acme.sh --issue  .....  --debug  2
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2022-11-30,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 用acme.sh自动部署域名证书
    • 安装ACME
      • 1. 安装 acme.sh
        • 2. 生成证书
          • 手动 dns 方式, 手动在域名上添加一条 txt 解析记录, 验证域名所有权。
        • 3. copy/安装 证书
          • Nginx:
        • 4. 查看已安装证书信息
          • 查看/删除证书
        • 5. 更新证书
          • 6. 关于修改ReloadCmd
            • 7. 更新 acme.sh
              • 8. 出错怎么办:
              相关产品与服务
              SSL 证书
              腾讯云 SSL 证书(SSL Certificates)为您提供 SSL 证书的申请、管理、部署等服务,为您提供一站式 HTTPS 解决方案。
              领券
              问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档