acme.sh生成免费SSL证书

发布日期: 2021-05-18 16:05:34 作者: Stephen 评论: 0

acme.sh 实现了 acme 协议,可以从 letsencrypt 生成免费的证书。

一个完全用Shell(Unix shell)语言编写的ACME协议客户端,支持ACME v1和ACME v2,只需一个脚本即可生成发布,续订和自动安装SSL证书。

1. 安装acme.sh

curl  https://get.acme.sh | sh

把 acme.sh 安装到你的 home 目录下:

~/.acme.sh/

创建 一个 bash 的 alias

alias acme.sh=~/.acme.sh/acme.sh

执行完毕后,将自动为你生成 crontab 任务,每天 0:00 点自动检测所有的证书, 如果快过期了,需要更新,则会自动更新证书。

2. 生成证书

acme.sh 实现了 acme 协议支持的所有验证协议。一般有两种方式验证: httpdns 验证,这里我们以 http 为例。

http 方式需要在你的网站根目录下放置一个文件,来验证你的域名所有权,完成验证,然后就可以生成证书了。

acme.sh  --issue  -d mydomain.com -d www.mydomain.com  --webroot  /home/wwwroot/mydomain.com/

只需要指定域名,并指定域名所在的网站根目录,acme.sh 会全自动的生成验证文件,并放到网站的根目录,然后自动完成验证,最后会聪明的删除验证文件,整个过程对网站没有任何影响。

如果你用的 apache/nginx 服务器,acme.sh 还可以智能的从配置中自动完成验证, 你不需要指定网站根目录:

apache:

acme.sh --issue  -d mydomain.com   --apache

nginx:

acme.sh --issue  -d mydomain.com   --nginx

3. copy/安装证书

前面证书生成以后,接下来需要把证书 copy 到真正需要用它的地方。

apache:

acme.sh --install-cert -d example.com \
--cert-file      /usr/local/apache/domain.cert  \
--key-file       /usr/local/apache/domain.key  \
--fullchain-file /usr/local/apache/domain.pem \
--reloadcmd     "service apache2 force-reload"

nginx:

acme.sh --install-cert -d example.com \
--key-file       /usr/local/nginx/cert/domain.key  \
--fullchain-file /usr/local/nginx/cert/domain.pem \
--reloadcmd     "service nginx force-reload"

service nginx force-reload 将会重启 nginxcentos7 以上使用 systemctl 命令

4. 修改配置

此处以 nginx 配置为例

server {
    listen  80;
    server_name     mydomain.com www.mydomain.com;
    return  301 https://$server_name$request_uri;
}
server {
    listen               443 ssl;
    server_name          mydomain.com www.mydomain.com;
    ssl_certificate      /usr/local/nginx/cert/domain.pem;
    ssl_certificate_key  /usr/local/nginx/cert/domain.key;

    location / {
        root /home/wwwroot/mydomain.com/public;
        index index.html;
    }
}

5. 更新证书

证书会自动更新,无需关心

6. 相关链接

Github:https://github.com/acmesh-official/acme.sh

快来抢沙发