目的
申請域名證書 (DV SSL)
1. 使用acme 自動簽發(fā)
1.1 下載acme腳本(可以不用這一步)
git clone https://github.com/acmesh-official/acme.sh
1.2 安裝zcem
curl https://get.acme.sh | sh
1.3 運行腳本自動簽發(fā)
~/.acme.sh/acme.sh --issue -d 域名 --webroot web目錄
簽發(fā)成功如下
注:使用acme命令之前需要先注冊帳務(wù)使用命令即可创译,填入自己的郵箱
https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA
1.4 簽發(fā)成功后修改域名證書的存放位置
默認(rèn)簽發(fā)成功后的位置如:
使用以下命令修改存放位置以供使用
~/.acme.sh/acme.sh --install-cert -d 域名 \
--key-file 密鑰存放目錄 \
--fullchain-file 證書存放路徑
2. 配置
2.1 Apache 配置
2.2.1. 編輯網(wǎng)站配置文件,例如 /etc/apache2/sites-enabled/xxx.conf ,添加443端口和相關(guān)配置:
<VirtualHost *:443>
ServerName tlanyan.pp.ua
# 日志等其他配置
# ssl配置
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/tlanyan.pp.ua/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/tlanyan.pp.ua/privkey.pem
</VirtualHost>
注:如果apache第一次使用ssl鞭莽,需要開啟 ssl mod饲梭,使用命令
a2enmod ssl
否則會報錯:
2.2.2 重啟apache服務(wù)
systemctl restart apache2.service
3. 查詢ssl證書有效期
使用以下命令
# 2寂曹、查看到期時間
openssl x509 -in xxx.crt -noout -dates
Attention:
- When add ssl using acme first, you must make sure your server can be reached from port 80
So, first you should setngxin
running and turn default port on - You should set
webroot
using--webroot
or-w
- Whenever, You CAN reference its opensource repo https://github.com/acmesh-official/acme.sh
- Anyway if failed, try add
--server letsencrypt
https://stackoverflow.org.cn/questions/68447907
參考
- zcme 官網(wǎng) (https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA)
- 「apache2無效的命令'SSLEngine'」https://qastack.cn/unix/31378/apache2-invalid-command-sslengine