一、概述
Let’s Encrypt 是免费、开放和自动化的证书颁发机构。目前有很多网站使用Let’s Encrypt证书做https加密。我也一直在用,不过以前都是用的单域名证书,新建网站就需要重新申请,比较麻烦。但现在已经可以申请Let’s Encrypt通配证书了。
实际上,申请 Let’s Encrypt 生成证书的工具不止一个,我用过 cerbot 和 acme.sh。以前用 cerbot 申请的时候不得不停掉 80 端口的服务,感觉不太友好。后来用 acme.sh 简单一点,本文将介绍如何使用 acme.sh 来独立申请域名通配证书。
acme.sh 项目地址为https://github.com/acmesh-official/acme.sh,本文参考官方文档
二、安装
2.1 安装socat和curl
以下以debian/ubuntu为例,安装命令如下
1
apt install socat curl # debian/ubuntu 环境
以下以alpine为例,安装命令如下
1
apk add socat curl # alpine 环境
2.2 安装 acmese.sh
1
curl https://get.acme.sh | sh
安装完成之后会在当前目录下生成 .acme.sh 目录
三、生成证书
3.1 配置域名服务商的AccessKey
申请域名证书可以手动添加域名解析验证。但使用域名服务商提供的 API 自动添加txt解析的方式来完成验证,会更方便后续实现自动化的ssl证书续订。
根据不同类型的域名服务商,我们选择对应的DNS API :https://github.com/acmesh-official/acme.sh/wiki/dnsapi
首先我们需要获取域名服务商提供的AccessKey,这是用来作为调用API的凭证。因为我的域名是在阿里云买的,这里以阿里云作为示例,可以点击这个链接申请阿里云的Accesskey:https://usercenter.console.aliyun.com/#/manage/ak
你可以使用全局的AccessKey,也可以使用子账号的AccessKey。因为全局AccessKey具有的阿里云账号的所有权限,更建议使用子账号。这里我使用子账号的AccessKey(但注意,子账号必须设置好dns相关权限),生成AccessKey ID 和 AccessKey Secret 如下图:
获取AccessKey ID和Access Scret后将它们加入到系统环境变量中
1
2
export Ali_Key="$KEY"
export Ali_Secret="hyddKq5Dm9OBfpCftGRP9Uo3vcFRaa"
3.2 生成证书
配置好之后,使用以下命令生成证书
1
.acme.sh/acme.sh --issue --dns dns_ali -d jkdev.cn -d *.jkdev.cn
这里生成两个证书,一个是 jkdev.cn 的,另一个使用 * 来代替,即可生成子域名的通配证书。生成证书过程中,会调用服务商API自动添加一条 txt 的域名解析验证,验证通过后会自动删除解析,这个过程对我们来说是无感知的。
注意:如果你没有使用的阿里云的域名,使用上面的命令是不管用的,请参考 3.1 中的 DNS API说明链接。
证书的有效期为90,80天之后续期,续期命令如下
1
.acme.sh/acme.sh --renew -d jkdev.cn -d *.jkdev.cn
当然了,你可以做成系统任务,自动续期,这里不再说明。
四、使用SSL证书部署https网站
4.1 部署到Apache服务器
生成的证书可以用于Apache/Nginx等服务器,我用的是Apache,此处共享一下我的配置参数
1
2
3
4
5
6
7
8
9
10
11
12
13
14
<VirtualHost _default_:443>
DocumentRoot "/var/www/html/www"
ServerName www.jkdev.cn
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/ssl/test.phy/*.jkdev.cn.cer
SSLCertificateKeyFile /etc/letsencrypt/live/ssl/test.phy/*.jkdev.cn.key
SSLCertificateChainFile /etc/letsencrypt/live/ssl/test.phy/fullchain.cer
<Directory "/var/www/html/www">
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
ErrorDocument 404 https://www.jkdev.cn/404.html
</Directory>
</VirtualHost>
4.2 部署到Nginx服务器
以下是Nginx配置文件
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
server {
listen 443 ssl;
server_name admin.jkdev.cn;
root /usr/share/nginx/html/php/admin_v2/dist;
index index.php index.html index.htm;
ssl_certificate /etc/ssl/jkdev.cn/cert.pem;
ssl_certificate_key /etc/ssl/jkdev.cn/key.pem;
ssl_session_timeout 5m; #缓存有效期
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #安全链接可选的加密协议
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; #加密算法
ssl_prefer_server_ciphers on; #使用服务器端的首选算法
location / {
try_files $uri $uri/ /index.html;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
location ~* ^/(css|img|js|flv|swf|download)/(.+)$ {
root /usr/share/nginx/html/php/admin_v2/dist;
}
location ~* \.(eot|ttf|woff|svg|otf)$ {
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Headers X-Requested-With;
add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
}
location ~ /\.ht {
deny all;
}
}
有任何疑问,欢迎给留言评论!