申请 SSL 证书
Acme 脚本申请证书
Acme 脚本申请证书,是我们用到的最常见的一种证书的申请方式,它有很多的申请方法,大家只需要找到一种适合自己的也就好了。
不管用下面的何种方式申请,都需要安装 Acme,有一部分的申请场景需要用到相关的插件,所以我们需要提前安装。
下面环境的安装方式,大家根据自己的系统选择命令安装就好了。
apt update -y #Debian/Ubuntu 命令apt install -y curl #Debian/Ubuntu 命令apt install -y socat #Debian/Ubuntu 命令
yum update -y #CentOS 命令yum install -y curl #CentOS 命令yum install -y socat #CentOS 命令安装 Acme 脚本
curl https://get.acme.sh | sh重要申明
2021 年 6 月 17 日更新:
从 acme.sh v 3.0.0 开始,acme.sh 使用 Zerossl 作为默认 ca,您必须先注册帐户(一次),然后才能颁发新证书。
具体操作步骤如下:
1、安装 Acme 脚本之后,请先执行下面的命令(下面的邮箱为你的邮箱)
~/.acme.sh/acme.sh --register-account -m [email protected]2、其他的命令暂时没有变动
80 端口空闲的验证申请
如果你还没有运行任何 web 服务, 80 端口是空闲的, 那么 Acme.sh 还能假装自己是一个 WebServer, 临时监听在 80 端口, 完成验证
~/.acme.sh/acme.sh --issue -d mydomain.com --standaloneNginx 的方式验证申请
这种方式需要你的服务器上面已经部署了 Nginx 环境,并且保证你申请的域名已经在 Nginx 进行了 conf 部署。(被申请的域名可以正常被打开)
~/.acme.sh/acme.sh --issue -d mydomain.com --nginxhttp 的方式验证申请
这种方式需要你的服务器上面已经部署了网站环境。(被申请的域名可以正常被打开)
原理:Acme 自动在你的网站根目录下放置一个文件, (这个文件可以被互联网访问)来验证你的域名所有权,完成验证. 然后就可以生成证书了.
实例代码:(后面的路径请更改为你的 网站根目录 绝对路径 )
~/.acme.sh/acme.sh --issue -d mydomain.com -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/DNS 验证的方式申请证书
获取 Cloudflare API 令牌
在域名管理首页(右下角)找到如下图,获取 API 密钥:
安装 ACME
curl https://get.acme.sh | sh设置 Cloudflare API 令牌
export CF_Key="4f9794c701b6e27884f0da0bab6454de07552"export CF_Email="[email protected]"验证 DNS 并申请证书
若是DNS验证申请不下来,请尝试使用下面的 Web 验证的方式申请证书
更改下面的域名为你自己的域名
~/.acme.sh/acme.sh --issue --dns dns_cf -d bozai3.xyz -d *.bozai3.xyzmkdir /root/cert~/.acme.sh/acme.sh --installcert -d bozai3.xyz --key-file /root/cert/private.key --fullchain-file /root/cert/cert.crt~/.acme.sh/acme.sh --upgrade --auto-upgradechmod -R 755 /root/cert也可以用以上方法申请多域名/泛域名单证书,如下图所示 三个域名里面包含的所有二级域名以及主域名都可以使用这个证书。
自行更改代码第一行就可以解决 多域名/泛域名 单证书了。
无论哪儿需要用到证书,三个域名(包含域名下所有二级域名)用这个也就好了。
二、Web 验证申请证书
这种方式,需要开放 80 端口,并保持不被占用的状态,这种方式不支持泛域名。
首先安装 socat
apt install socat -y #Debian 安装代码yum install socat -y #CentOS 安装代码安装 ACME 并申请证书
更改下面的域名为你自己的域名
curl https://get.acme.sh | sh~/.acme.sh/acme.sh --issue -d bozai3.xyz --standalonemkdir /root/cert~/.acme.sh/acme.sh --installcert -d bozai3.xyz --key-file /root/cert/private.key --fullchain-file /root/cert/cert.crt~/.acme.sh/acme.sh --upgrade --auto-upgradechmod -R 755 /root/cert为域名添加解析
类型 A,名字 v2 (可随意),IPv4 地址填入 VPS 地址。
这样就解析了一个名为 v2.bozai3.xyz 的域名,指向为 VPS 地址。
安装证书到指定文件夹
注意, 默认生成的证书都放在安装目录下: ~/.acme.sh/, 请不要直接使用此目录下的证书文件。
正确的使用方法是使用 --install-cert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置,比如下面的代码
~/.acme.sh/acme.sh --installcert -d mydomain.com --key-file /root/private.key --fullchain-file /root/cert.crt上面的 /root/private.key 以及 /root/cert.crt 是把密钥和证书安装到 /root 目录,并改名为 private.key 和 cert.crt
更新证书
目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.
更新 Acme 脚本
升级 Acme.sh 到最新版本
~/.acme.sh/acme.sh --upgrade如果你不想手动升级, 可以开启自动升级:
~/.acme.sh/acme.sh --upgrade --auto-upgrade之后, acme.sh 就会自动保持更新了.
后记
当然,上面的申请方式并不是全部的 SSL 证书申请方式,只是较为常见而已。
--文章摘自波仔大佬的博客
