使用 acme.sh 签发续签 Let‘s Encrypt 证书-老徐小屋

”

安装acme.sh

1 2	<span class="">curl</span> https://get.acme.sh \| sh

这样就已经安装好了acme.sh脚本，具体动作：

安装文件和配置文件都在home目录下，也就是 ~/.acme.sh/
创建一个bash alias， alias acme.sh='~/.acme.sh/acme.sh' ，重新打开终端后直接输入 acme.sh 就可以快速方便地使用这个脚本
创建一个crontab定时任务，每天0点进行acme.sh脚本的续签证书，自动升级(可选)等任务
整个安装过程对环境无污染，所有新文件仅限 ~/.acme.sh/ 目录内。

acme.sh生成证书

acme.sh生成证书有两种方式，域名验证及http方式，在此处推荐使用http验证方式，在一台VPS上进行即可，无需额外的域名设置。

1 2	acme.sh --issue -d 要申请的域名 --webroot /<span class="">var</span>/www/mydomain.com/ #这里是网站的根目录

运行这个命令之后证书就已经签好，此处以我的域名www.jiangyong.org为例，在 ~/.acme.sh/www.jiangyong.org/ 里可以找到所签发的证书，包括csr，key，完整链证书等，使用起来非常方便。

acme.sh安装证书

acme.sh安装证书也异常方便，除了apache自动安装之外，nginx的证书安装也是半自动的，自己只需修改nginx配置文件即可

此处以www.jiangyong.org为例，一定要修改为自己的域名

官方：

acme.sh --installcert -d www.jiangyong.org \

--key-file /etc/nginx/ssl/www.jiangyong.org.key \

--fullchain-file /etc/nginx/ssl/www.jiangyong.org.cer \

--reloadcmd ""service nginx force-reload""

我的：

acme.sh --installcert -d www.jiangyong.org \

--keypath /etc/nginx/ssl/www.jiangyong.org.key \

--fullchainpath /etc/nginx/ssl/www.jiangyong.org.fc.cer \

--reloadcmd ""service nginx reload""

这样证书就已经安装到位，比如此处的路径是在 /etc/nginx/ssl/ 路径下：

key文件为 /etc/nginx/ssl/www.jiangyong.org.key
完整链证书文件为 /etc/nginx/ssl/www.jiangyong.org.fc.cer
更棒的是，acme.sh 会自动记住证书安装的位置，以后自动续签之后会自动安装到相应位置并重启Nginx，不需要再手动添加crontab任务，写一大堆路径并记得重启Nginx。

和官方简略教程不同的是，我是用完整证书链进行安装的，以防一些机器（很有可能）没有 Let’s Encrypt 的根证书造成SSL不被信用的情况

修改Nginx配置文件启用ssl

这时需要修Nginx配置文件使得站点用上SSL证书，此处以我的域名www.jiangyong.org为例，我的配置文件是 /etc/nginx/conf.d/www.jiangyong.org.conf ，加上如下语句：

### Begin of SSL config

ssl on;

ssl_certificate /etc/nginx/ssl/www.jiangyong.org.fc.cer;

ssl_certificate_key /etc/nginx/ssl/www.jiangyong.org.key;

ssl_session_timeout 1d;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

ssl_session_cache shared:SSL:50m;

ssl_session_tickets on;

ssl_stapling on;

ssl_stapling_verify on;

resolver 114.114.114.114 valid=300s;

resolver_timeout 10s;

### End of SSL config

然后测试配置文件并重启nginx即可：

查看源代码打印帮助

1 2	<span class="">nginx</span> -t && service nginx restart

acme.sh全自动续签证书

目前 Let’s Encrypt 证书的有效期是90天，官方推荐的方式是脚本自动化续签。acme.sh的实现方式是#全自动#，对，你不用进行任何设置，acme.sh会自动在80天后续签，一个键都不用敲！

acme.sh自动更新自身

Let’s Encrypt 一直处于高速发展的状态，每隔一段时间都会添加新的特性，而acme.sh也会随着官方不断更新，所以保持acme.sh更新是很有必要的，而acme.sh也提供了自动升级的功能：

手动升级：acme.sh --upgrade
自动升级：acme.sh --upgrade --auto-upgrade
关闭自动升级：acme.sh --upgrade --auto-upgrade 0

参考资料

官方简略教程：https://github.com/Neilpang/acme.sh/wiki/%E8%AF%B4%E6%98%8E
Let’s Encrypt证书快速申请并自动续期：https://www.gubo.org/lets-encrypt-quick-start-and-auto-renew/
Mozilla SSL配置生成器：https://mozilla.github.io/server-side-tls/ssl-config-generator/

我的操作

验证域名

acme.sh --issue -d www.jiangyong.org \

--webroot /data/wwwroot/www.jiangyong.org/

安装证书

acme.sh --installcert -d www.jiangyong.org \

--key-file /usr/local/nginx/conf/ssl/www.jiangyong.org.key \

--fullchain-file /usr/local/nginx/conf/ssl/www.jiangyong.org.crt \

--reloadcmd ""service nginx force-reload""

“

http://xzh.i3geek.com

一	二	三	四	五	六	日
				4月 »
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

使用 acme.sh 签发续签 Let‘s Encrypt 证书

安装acme.sh

acme.sh生成证书

acme.sh安装证书

修改Nginx配置文件启用ssl

acme.sh全自动续签证书

acme.sh自动更新自身

参考资料

我的操作

相关推荐

评论抢沙发

热门文章

分类目录

近期文章

安装acme.sh

acme.sh生成证书

acme.sh安装证书

修改Nginx配置文件启用ssl

acme.sh全自动续签证书

acme.sh自动更新自身

参考资料

我的操作

相关推荐

评论 抢沙发

热门文章

分类目录

近期文章

评论抢沙发