acme.sh 申请证书
1. 安装acme.sh
curl https://get.acme.sh | sh -s [email protected]
把 acme.sh 安装到你的 home 目录下:
~/.acme.sh
2. 生成证书
acme.sh
实现了 acme 协议支持的所有验证协议. 一般有两种方式验证: http
和 dns
验证.这里使用 clodflare的dns验证
1.Cloudflare Domain API 提供两种自动颁发证书的方法
使用全局 API 密钥
首先,您需要登录您的 Cloudflare 帐户以获取您的API 密钥。生成的每个令牌不会存储在 cloudflare 帐户中,如果设置不正确,将会过期。您将在 API 密钥部分获得该信息。
export CF_Key="<key>"
export CF_Email="<[email protected]>"
使用新的 cloudflare api 令牌,您将在正常登录后获得此令牌并在仪表板上向下滚动并复制凭据。
export CF_Token="<token>"
export CF_Account_ID="<id>"
为了使用新令牌,令牌当前需要跨所有区域访问 Zone.Zone 的读取权限和对 Zone.DNS 的写入权限。有关详细信息,请参阅问题 #2398 。
或者,如果证书仅覆盖单个区域,您可以将 API 令牌限制为仅对单个域的 Zone.DNS 进行写访问,然后直接指定CF_Zone_ID:
export CF_Token="<token>"
export CF_Account_ID="<id>"
export CF_Zone_ID="<zone>"
好的,我们现在颁发证书:
./acme.sh --issue --dns dns_cf -d example.com -d www.example.com
and CF_Key
或and将被保存 CF_Email
并在需要时重复使用。
CF_TokenCF_Account_ID~/.acme.sh/account.conf
3. copy/安装 证书
Nginx example:
acme.sh --install-cert -d example.com \
--key-file /path/to/keyfile/in/nginx/key.pem \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd "service nginx force-reload"
(一个小提醒, 这里用的是 service nginx force-reload
, 不是 service nginx reload
, 据测试, reload
并不会重新加载证书, 所以用的 force-reload
)
Nginx 的配置 ssl_certificate
使用 /etc/nginx/ssl/fullchain.cer
,而非 /etc/nginx/ssl/<domain>.cer
,否则 SSL Labs 的测试会报 Chain issues Incomplete
错误。
--install-cert
命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效.
详细参数请参考: https://github.com/Neilpang/acme.sh#3-install-the-issued-cert-to-apachenginx-etc
值得注意的是, 这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用.
4. 查看已安装证书信息
acme.sh --info -d example.com
# 会输出如下内容:
DOMAIN_CONF=/root/.acme.sh/example.com/example.com.conf
Le_Domain=example.com
Le_Alt=no
Le_Webroot=dns_ali
Le_PreHook=
Le_PostHook=
Le_RenewHook=
Le_API=https://acme-v02.api.letsencrypt.org/directory
Le_Keylength=
Le_OrderFinalize=https://acme-v02.api.letsencrypt.org/acme/finalize/23xxxx150/781xxxx4310
Le_LinkOrder=https://acme-v02.api.letsencrypt.org/acme/order/233xxx150/781xxxx4310
Le_LinkCert=https://acme-v02.api.letsencrypt.org/acme/cert/04cbd28xxxxxx349ecaea8d07
Le_CertCreateTime=1649358725
Le_CertCreateTimeStr=Thu Apr 7 19:12:05 UTC 2022
Le_NextRenewTimeStr=Mon Jun 6 19:12:05 UTC 2022
Le_NextRenewTime=1654456325
Le_RealCertPath=
Le_RealCACertPath=
Le_RealKeyPath=/etc/acme/example.com/privkey.pem
Le_ReloadCmd=service nginx force-reload
Le_RealFullChainPath=/etc/acme/example.com/chain.pem
5.更新证书
目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.
请确保 cronjob 正确安装, 看起来是类似这样的:
crontab -l
56 * * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
6.更新 acme.sh
目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.
升级 acme.sh 到最新版 :
acme.sh --upgrade
如果你不想手动升级, 可以开启自动升级:
acme.sh --upgrade --auto-upgrade
之后, acme.sh 就会自动保持更新了.
你也可以随时关闭自动更新:
acme.sh --upgrade --auto-upgrade 0