簡介
Let's Encrypt —— 是一個由非營利性組織 互聯(lián)網(wǎng)安全研究小組(ISRG)提供的免費、自動化和開放的證書頒發(fā)機構(gòu)(CA)筋量,簡單的說,就是為網(wǎng)站提供免費的 SSL/TLS 證書。
簽發(fā)工具
Let's Encrypt 生成證書的工具很多勤晚,certbot 是官方推薦的簽發(fā)工具似嗤,也可以通過在線服務申請啸臀,例如:
在線一站式服務管理方便,但可能需要綁定業(yè)務烁落,個人用戶還是推薦通過工具生成證書乘粒。
這里推薦 acme.sh,它不僅有詳細的中文文檔伤塌,操作更為方便灯萍,還支持 Docker。
acme.sh
以 root 用戶為例
在線安裝
curl https://get.acme.sh | sh
安裝過程:
home目錄下生成.acme.sh文件夾每聪,查看文件夾內(nèi)容:ls ~/.acme.sh/旦棉;-
自動添加 bash alias:
# ~/.bashrc 添加: . "/root/.acme.sh/acme.sh.env" # acme.sh.env 內(nèi)容: # alias acme.sh="/root/.acme.sh/acme.sh" -
自動添加定時任務(時間隨機):
# 每天凌晨檢查證書的有效期齿风,如有需要,自動續(xù)簽绑洛。 30 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
相關(guān)命令
# 查看幫助
acme.sh -h
# 查看列表
acme.sh --list
# 卸載 acme.sh
# 編輯 ~/.bashrc救斑,刪除 acme.sh alias
acme.sh --uninstall
腳本更新
自動更新:acme.sh --upgrade --auto-upgrade
手動更新:acme.sh --upgrade
關(guān)閉更新:acme.sh --upgrade --auto-upgrade 0
證書申請
驗證域名所有權(quán)驗證方式:HTTP 和 DNS
- HTTP:在網(wǎng)站的根目錄下添加一個文件
- DNS:在域名上添加一條 txt 解析記錄
HTTP
acme.sh 會自動生成驗證文件,并放到站點的根目錄真屯,然后自動完成驗證脸候,最后自動刪除文件。
- -d:同
--domain绑蔫,域名 - -w:同
--webroot运沦,站點根目錄
acme.sh --issue -d mydomain.com -d www.mydomain.com -w /websvr/mydomain.com/
Nginx:自動從配置中獲取站點的根目錄
acme.sh --issue -d mydomain.com --nginx
注:根據(jù)中國大陸工信部的規(guī)定,所有托管在中國大陸服務器上的網(wǎng)站均需要備案配深。
—— 站點如未備案携添,80 端口處于禁用狀態(tài),acme.sh 無法使用 HTTP 驗證域名所有權(quán)凉馆。
DNS
優(yōu)勢:不需要服務器與公網(wǎng) ip薪寓,只要配置 DNS 解析即可。
不足:必須配置 Automatic DNS API 才可以自動續(xù)簽澜共。
# https://github.com/Neilpang/acme.sh/wiki/dns-manual-mode
# 注:DNS 不支持自動續(xù)簽
# 步驟:
# 1. 生成相應的解析記錄
# 2. 域名解析中添加生成的 txt 記錄
# 3. 等待解析其生效
acme.sh --issue --dns -d mydomain.com --yes-I-know-dns-manual-mode-enough-go-ahead-please
# 查詢域名 txt 記錄
nslookup -type=txt _acme-challenge.mydomain.com
# 解析生效后向叉,重新生成證書(注:確實是 renew)
acme.sh --renew -d mydomain.com --yes-I-know-dns-manual-mode-enough-go-ahead-please
DNS API(推薦)
根據(jù)域名服務商,選擇對應的 DNS API嗦董。
阿里云:控制臺
創(chuàng)建 Accesskey
# 獲取到 Key 和 Secret 后母谎,設(shè)置環(huán)境變量
export Ali_Key="123"
export Ali_Secret="abc"
# 生產(chǎn)證書
acme.sh --issue --dns dns_ali -d mydomain.com -d www.mydomain.com
DNSPod:控制臺(注:非騰訊云控制臺)
創(chuàng)建 API Token
# 獲取到 ID 和 Key 后,設(shè)置環(huán)境變量
export DP_Id="123"
export DP_Key="abc"
# 生產(chǎn)證書
acme.sh --issue --dns dns_dp -d mydomain.com -d www.mydomain.com
通配符證書
Wildcard 證書京革,目前只支持 DNS-01 驗證方式奇唤。
# 阿里 DNS API
acme.sh --issue --dns dns_ali -d mydomain.com -d *.mydomain.com
證書配置
生成的證書都在 home 目錄下: ~/.acme.sh/
導出證書
使用 --install-cert 命令
- -d:域名
- –key-file:私鑰位置
- –fullchain-file:證書位置
- –reloadcmd:重載命令
acme.sh --install-cert -d mydomain.com \
--key-file /websvr/ssl/mydomain.key \
--fullchain-file /websvr/ssl/fullchain.cer \
--reloadcmd "docker exec -t nginx nginx -s reload"
Nginx 配置
server {
listen 80;
server_name mydomain.com;
# 重定向到 https
rewrite ^(.*)$ https://$host$1 permanent;
}
server {
listen 443;
server_name mydomain.com;
root /websvr/www/mydomain.com;
index index.html index.htm;
access_log /dev/null;
error_log /websvr/log/nginx/mydomain.com.error.log warn;
# SSL 配置
ssl on;
ssl_certificate /websvr/ssl/fullchain.cer; # 證書文件
ssl_certificate_key /websvr/ssl/mydomain.key; # 私鑰文件
ssl_session_timeout 5m; # 會話緩存過期時間
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # 開啟 SSL 支持
ssl_prefer_server_ciphers on; # 設(shè)置協(xié)商加密算法時,優(yōu)先使用服務端的加密套件
}
重啟 Nginx 服務:
docker exec -t nginx nginx -s reload
SSL 檢測
更新證書
定時任務會自動更新
強制續(xù)簽證書:acme.sh --renew -d mydomain.com --force
