本文主要是介绍acme.sh签发和部署ZeroSSL泛域名证书,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
大家好,我叫徐锦桐,个人博客地址为www.xujintong.com。平时记录一下学习计算机过程中获取的知识,还有日常折腾的经验,欢迎大家访问。
介绍
acme.sh 是个开源的shell证书生成脚本,他可以自动生成Let’s Encrypt 的证书,也可以通过API生成其他的证书。
这里我们用的ZeroSSL签发的证书。有人问,为啥不用Let’s Encrypt的证书呢?因为有人说Let’s Encrypt的服务器被墙,导致使用Let’s Encrypt证书的网页加载缓慢。
在acme.sh的文档中提到,acme.sh默认server使用Let’s Encrypt,将在2021/08/01发布v3版本。
安装acme.sh
这里的环境是Linux环境
curl https://get.acme.sh | sh
安装完了,如果输入acme.sh --version,会显示找不到命令。我们还需要创建一个alias。
alias acme.sh=~/.acme.sh/acme.sh
将acme.sh server更改为ZeroSSL
可能当前版本的acme默认也是ZeroSSL,但是还是设置一下吧。
acme.sh --set-default-ca --server zerossl
配置DNS API
SSL证书验证可通过DNS验证、文件验证等多种方式,为了方便多个域名申请以及后续证书更新,推荐使用DNS API方式,不过在使用前需要先进行设置。
获取 cloudflare API key
点击这个网站https://dash.cloudflare.com/profile/api-tokens 进入cloudfare的user api地址。然后复制Global API Key。
就是验证一下域名使用权,这里我的域名托管到cloudfare,这里就用cloudfare的API了,如果你的域名托管到其他地方,请自行百度获取API的方式。
设置 cloudflare API key
终端输入
export CF_Key="cloudflare 中查看你的 Global API Key"
export CF_Email="你的 cloudflare 邮箱"
ZeroSSL使用说明
需要在ZeroSSL的官网注册一个账户,一会需要将acme.sh和自己的账户进行关联。
别看网站上面签发泛域名证书要花钱,如果您通过ZeroSSL官网在线申请SSL证书,免费账户是有3个域的额度限制的,但通过acme.sh申请则没有这个限制,所以建议使用acme.sh进行申请,简单方便。
acme.sh申请ZeroSSL泛域名SSL证书
关联ZeroSSL
将myemail@example.com替换成当时注册ZeroSSL的邮箱。
acme.sh --register-account -m myemail@example.com --server zerossl
申请ZeroSSL泛域名SSL证书
acme.sh --dns dns_huaweicloud --issue -d domain.com -d *.domain.com
复制证书
这里不要使用上面申请完的那个证书路径,需要拷贝到别处去。
acme.sh --installcert -d damain.com \--key-file /home/ssl/key.pem \--fullchain-file /home/ssl/cert.pem
这里吧damain.com换成你自己的域名,两个路径也可以自己选,生成的证书就会导入到这两个文件里面。
部署证书
这里我用的宝塔面板(宝塔将对应网站ngigx配置文件放在/www/server/panel/vhost/nginx)
在网站(要部署证书的网站)设置,配置文件中加入下面的代码,保证443端口已经打开,然后将SSL证书和私钥文件的路径替换为自己的。
# SSL证书申请的地址
listen 443 ssl;
# SSL证书和私钥文件的路径
ssl_certificate /home/ssl/cert.pem;
ssl_certificate_key /home/ssl/key.pem;
# ssl基础配置
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
如果不用宝塔面板的话也是修改对应网站的nginx配置文件就行。
最后,重启Nginx。
nginx -s reload
最后
ZeroSSL几乎继承了Let’s Encrypt所有特性,而且还支持WEB管理证书,使用acme.sh申请ZeroSSL也非常简单,用来替代Let’s Encrypt完全没有问题。
- acme.sh项目地址
- ZeroSSL官网
- 参考博客1
- 参考博客2
这篇关于acme.sh签发和部署ZeroSSL泛域名证书的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
