簡介
Let's Encrypt —— 是一個由非營利性組織 互聯網安全研究小組(ISRG)提供的免費、自動化和開放的證書頒發機構(CA),簡單的說,就是為網站提供免費的 SSL/TLS 證書。
簽發工具
Let's Encrypt 生成證書的工具很多,certbot 是官方推薦的簽發工具,也可以通過在線服務申請,例如:
在線一站式服務管理方便,但可能需要綁定業務,個人用戶還是推薦通過工具生成證書。
這里推薦 acme.sh,它不僅有詳細的中文文檔,操作更為方便,還支持 Docker。
acme.sh
以 root 用戶為例
在線安裝
curl https://get.acme.sh | sh
安裝過程:
home目錄下生成.acme.sh文件夾,查看文件夾內容:ls ~/.acme.sh/;-
自動添加 bash alias:
# ~/.bashrc 添加: . "/root/.acme.sh/acme.sh.env" # acme.sh.env 內容: # alias acme.sh="/root/.acme.sh/acme.sh" -
自動添加定時任務(時間隨機):
# 每天凌晨檢查證書的有效期,如有需要,自動續簽。 30 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
相關命令
# 查看幫助
acme.sh -h
# 查看列表
acme.sh --list
# 卸載 acme.sh
# 編輯 ~/.bashrc,刪除 acme.sh alias
acme.sh --uninstall
腳本更新
自動更新:acme.sh --upgrade --auto-upgrade
手動更新:acme.sh --upgrade
關閉更新:acme.sh --upgrade --auto-upgrade 0
證書申請
驗證域名所有權驗證方式:HTTP 和 DNS
- HTTP:在網站的根目錄下添加一個文件
- DNS:在域名上添加一條 txt 解析記錄
HTTP
acme.sh 會自動生成驗證文件,并放到站點的根目錄,然后自動完成驗證,最后自動刪除文件。
- -d:同
--domain,域名 - -w:同
--webroot,站點根目錄
acme.sh --issue -d mydomain.com -d www.mydomain.com -w /websvr/mydomain.com/
Nginx:自動從配置中獲取站點的根目錄
acme.sh --issue -d mydomain.com --nginx
注:根據中國大陸工信部的規定,所有托管在中國大陸服務器上的網站均需要備案。
—— 站點如未備案,80 端口處于禁用狀態,acme.sh 無法使用 HTTP 驗證域名所有權。
DNS
優勢:不需要服務器與公網 ip,只要配置 DNS 解析即可。
不足:必須配置 Automatic DNS API 才可以自動續簽。
# https://github.com/Neilpang/acme.sh/wiki/dns-manual-mode
# 注:DNS 不支持自動續簽
# 步驟:
# 1. 生成相應的解析記錄
# 2. 域名解析中添加生成的 txt 記錄
# 3. 等待解析其生效
acme.sh --issue --dns -d mydomain.com --yes-I-know-dns-manual-mode-enough-go-ahead-please
# 查詢域名 txt 記錄
nslookup -type=txt _acme-challenge.mydomain.com
# 解析生效后,重新生成證書(注:確實是 renew)
acme.sh --renew -d mydomain.com --yes-I-know-dns-manual-mode-enough-go-ahead-please
DNS API(推薦)
根據域名服務商,選擇對應的 DNS API。
阿里云:控制臺
創建 Accesskey
# 獲取到 Key 和 Secret 后,設置環境變量
export Ali_Key="123"
export Ali_Secret="abc"
# 生產證書
acme.sh --issue --dns dns_ali -d mydomain.com -d www.mydomain.com
DNSPod:控制臺(注:非騰訊云控制臺)
創建 API Token
# 獲取到 ID 和 Key 后,設置環境變量
export DP_Id="123"
export DP_Key="abc"
# 生產證書
acme.sh --issue --dns dns_dp -d mydomain.com -d www.mydomain.com
通配符證書
Wildcard 證書,目前只支持 DNS-01 驗證方式。
# 阿里 DNS API
acme.sh --issue --dns dns_ali -d mydomain.com -d *.mydomain.com
證書配置
生成的證書都在 home 目錄下: ~/.acme.sh/
導出證書
使用 --install-cert 命令
- -d:域名
- –key-file:私鑰位置
- –fullchain-file:證書位置
- –reloadcmd:重載命令
acme.sh --install-cert -d mydomain.com \
--key-file /websvr/ssl/mydomain.key \
--fullchain-file /websvr/ssl/fullchain.cer \
--reloadcmd "docker exec -t nginx nginx -s reload"
Nginx 配置
server {
listen 80;
server_name mydomain.com;
# 重定向到 https
rewrite ^(.*)$ https://$host$1 permanent;
}
server {
listen 443;
server_name mydomain.com;
root /websvr/www/mydomain.com;
index index.html index.htm;
access_log /dev/null;
error_log /websvr/log/nginx/mydomain.com.error.log warn;
# SSL 配置
ssl on;
ssl_certificate /websvr/ssl/fullchain.cer; # 證書文件
ssl_certificate_key /websvr/ssl/mydomain.key; # 私鑰文件
ssl_session_timeout 5m; # 會話緩存過期時間
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # 開啟 SSL 支持
ssl_prefer_server_ciphers on; # 設置協商加密算法時,優先使用服務端的加密套件
}
重啟 Nginx 服務:
docker exec -t nginx nginx -s reload
SSL 檢測
更新證書
定時任務會自動更新
強制續簽證書:acme.sh --renew -d mydomain.com --force
