acme.sh如何申请证书

acme.sh如何申请证书

hb0730 89 2023-07-01

acme.sh 申请证书

1. 安装acme.sh

curl https://get.acme.sh | sh -s [email protected]

把 acme.sh 安装到你的 home 目录下:

~/.acme.sh

2. 生成证书

acme.sh 实现了 acme 协议支持的所有验证协议. 一般有两种方式验证: httpdns 验证.这里使用 clodflare的dns验证

1.Cloudflare Domain API 提供两种自动颁发证书的方法

使用全局 API 密钥

首先,您需要登录您的 Cloudflare 帐户以获取您的API 密钥。生成的每个令牌不会存储在 cloudflare 帐户中,如果设置不正确,将会过期。您将在 API 密钥部分获得该信息。

export CF_Key="<key>"
export CF_Email="<[email protected]>"

使用新的 cloudflare api 令牌,您将在正常登录后获得此令牌并在仪表板上向下滚动并复制凭据。

export CF_Token="<token>"
export CF_Account_ID="<id>"

为了使用新令牌,令牌当前需要跨所有区域访问 Zone.Zone 的读取权限和对 Zone.DNS 的写入权限。有关详细信息,请参阅问题 #2398

或者,如果证书仅覆盖单个区域,您可以将 API 令牌限制为仅对单个域的 Zone.DNS 进行写访问,然后直接指定CF_Zone_ID:

export CF_Token="<token>"
export CF_Account_ID="<id>"
export CF_Zone_ID="<zone>"

好的,我们现在颁发证书:

./acme.sh --issue --dns dns_cf -d example.com -d www.example.com

and CF_Key 或and将被保存 CF_Email 并在需要时重复使用。 CF_TokenCF_Account_ID~/.acme.sh/account.conf

3. copy/安装 证书

Nginx example:

acme.sh --install-cert -d example.com \
--key-file       /path/to/keyfile/in/nginx/key.pem  \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd     "service nginx force-reload"

(一个小提醒, 这里用的是 service nginx force-reload, 不是 service nginx reload, 据测试, reload 并不会重新加载证书, 所以用的 force-reload)

Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer ,而非 /etc/nginx/ssl/<domain>.cer ,否则 SSL Labs 的测试会报 Chain issues Incomplete 错误。

--install-cert命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效.

详细参数请参考: https://github.com/Neilpang/acme.sh#3-install-the-issued-cert-to-apachenginx-etc

值得注意的是, 这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用.

4. 查看已安装证书信息

acme.sh --info -d example.com
# 会输出如下内容:
DOMAIN_CONF=/root/.acme.sh/example.com/example.com.conf
Le_Domain=example.com
Le_Alt=no
Le_Webroot=dns_ali
Le_PreHook=
Le_PostHook=
Le_RenewHook=
Le_API=https://acme-v02.api.letsencrypt.org/directory
Le_Keylength=
Le_OrderFinalize=https://acme-v02.api.letsencrypt.org/acme/finalize/23xxxx150/781xxxx4310
Le_LinkOrder=https://acme-v02.api.letsencrypt.org/acme/order/233xxx150/781xxxx4310
Le_LinkCert=https://acme-v02.api.letsencrypt.org/acme/cert/04cbd28xxxxxx349ecaea8d07
Le_CertCreateTime=1649358725
Le_CertCreateTimeStr=Thu Apr  7 19:12:05 UTC 2022
Le_NextRenewTimeStr=Mon Jun  6 19:12:05 UTC 2022
Le_NextRenewTime=1654456325
Le_RealCertPath=
Le_RealCACertPath=
Le_RealKeyPath=/etc/acme/example.com/privkey.pem
Le_ReloadCmd=service nginx force-reload
Le_RealFullChainPath=/etc/acme/example.com/chain.pem

5.更新证书

目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.

请确保 cronjob 正确安装, 看起来是类似这样的:

crontab  -l

56 * * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

6.更新 acme.sh

目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.

升级 acme.sh 到最新版 :

acme.sh --upgrade

如果你不想手动升级, 可以开启自动升级:

acme.sh --upgrade --auto-upgrade

之后, acme.sh 就会自动保持更新了.

你也可以随时关闭自动更新:

acme.sh --upgrade --auto-upgrade  0