标签:ons 临时 官网 default for com hub tps amp
申请过SSL证书的人应该对Let‘s Encrypt这个证书颁发机构不陌生,它免费,而且也被各大浏览器所支持和认可.但一般我们申请到的都单域或双域(www和主域名)的证书.这样一来,我们需要做全站SSL的工作量就会超级大!有没有一个办法,像DNS解析一样,用*.staryjie.com
的方式,让全站共用一个SSL证书。
acme.sh
是一个实现了 acme 协议的脚本,可以从 Let‘s Encrypt 生成我们需要的泛解析SSL证书.当然,你用来生产普通证书也是没有问题的。
本文仅对使用域名提供/解析商的 API Token 来自动申请泛域名证书的过程进行讲解,acme.sh
还有很多很强大的功能例如配合 Nginx
或者 Apache
自动申请证书等,请自行查看 github 项目 wiki 发掘。
项目链接:Github - acme.sh
安装方法:
curl https://get.acme.sh | sh
# 或者
wget -O- https://get.acme.sh | sh
安装过程中可能会出现要你安装socat
的警告,可以忽略。
安装过程不会修改已有的任何系统功能和文件,请放心食用. acme.sh在程序结束后会被自动安装到~/.acme.sh/
目录中,你也可以随时删除该目录,不会影响到系统。
由于acme.sh
对域名解析/提供商的支持十分广泛,所以请针对自己所在的域名提供商获取对应的API Token。
支持列表:点我跳转
国内目前使用较多的是腾讯云和阿里云,获取API Token的方法分别是:
腾讯的DNSPod
登录DNSPod,进入顶部导航栏里的用户中心,在左侧的导航栏里,找到安全设置
,看到页面的最下面,有个API Token
.点击查看
->创建API Token
->填写Tokens名称
,复制好ID与Token即可.保存待用。
阿里云域名
需要登录到阿里云官网获取Ali_Key和Ali_Secret。点击此处跳转
获取到对应的API Token之后我们需要将id和key设置为环境变量,供acme.sh调用:
# DNSPod
export DP_Id="你的 API ID"
export DP_Key="你的 Token"
# aliyun
export Ali_Key="你的 AccessKey ID"
export Ali_Secret="你的 AccessKey Secret"
如果你的域名提供商不是DNSPod或者阿里云,其他域名提供商变量名一览表:点我查看
临时环境变量只需配置这一次即可,当成功申请证书后,API 信息会被自动保存在~/.acme.sh/account.conf
里,下次你使用acme.sh的时候系统会自动读取并使用。
# DNSPod
cd ~/.acme.sh/
# 或者 alias acme.sh=~/.acme.sh/acme.sh
acme.sh --issue -d example.com -d *.example.com --dns dns_dp
# 多个域名只需要"-d 你的域名"即可
# aliyun
cd ~/.acme.sh/
# 或者 alias acme.sh=~/.acme.sh/acme.sh
acme.sh --issue --dns dns_ali -d example.com -d *.example.com
注意:不同的域名解析商所用命令有细微不同!如果你的提供商不是
DNSPod
,请自行去上面的链接查看!
申请完成后屏显会输出证书路径。
可能会遇到的报错:
解决办法:
# 升级curl
yum install -y curl
如果升级curl之后还是如上图的报错,则可以尝试修改域名的DSN设置:
修改之后需要等十分钟左右。
默认生成的证书都放在安装目录下: ~/.acme.sh/,这个目录一般来说不能让nginx或Apache直接使用。所以我们需要将证书放到一个指定的目录,scrm用nginx配置,本例是指定在/etc/nginx/ssl/目录下。
mkdir /etc/nginx/ssl
acme.sh --installcert -d staryjie.com --keypath /etc/nginx/ssl/staryjie.com.key --fullchainpath /etc/nginx/ssl/staryjie.com.key.pem --reloadcmd "service nginx force-reload"
openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048
/etc/nginx/conf.d/bark.conf
server {
listen 80 default_server;
listen [::]:80 default_server;
listen 443 ssl;
server_name notice.staryjie.com;
ssl_certificate /etc/nginx/ssl/staryjie.com.key.pem;
ssl_certificate_key /etc/nginx/ssl/staryjie.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
location / {
proxy_pass_header Server;
proxy_set_header Host $http_host;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Scheme $scheme;
proxy_pass http://127.0.0.1:8888;
}
}
重载配置文件:
systemctl reload nginx.service
测试:
Let s Encrypt 的证书有效期是 90 天的,需要定期重新申请,不过acme在安装的时候就已经设置了自动更新,所以这一步不用关心,很省心。
目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心。
acme.sh --upgrade --auto-upgrade
关闭自动更新:
acme.sh --upgrade --auto-upgrade 0
通过acme.sh申请Let's Encrypt泛解析SSL证书
标签:ons 临时 官网 default for com hub tps amp
原文地址:https://www.cnblogs.com/jie-fang/p/14724100.html