Let's Encrypt免费https/SSL通配证书申请与续期
Let’s Encrypt 是免费、开放和自动化的证书颁发机构。目前有很多网站使用Let’s Encrypt证书做https加密。我也一直在用,不过以前都是用的单域名证书,新建网站就需要重新申请,比较麻烦。但现在已经可以申请Let’s Encrypt通配证书了。
实际上,申请 Let’s Encrypt 生成证书的工具不止一种,我用过 cerbot 和 acme.sh。以前用 cerbot 申请的时候不得不停掉 80 端口的服务,感觉不太友好。后来用 acme.sh 简单一点,本文将介绍如何使用 acme.sh 来独立申请域名通配证书。
acme.sh 项目地址为https://github.com/acmesh-official/acme.sh
,本文参考官方文档。
一、安装
1 | $ curl https://get.acme.sh | sh |
安装完成之后会在当前目录下生成 .acme.sh
目录
二、生成证书
2.0 配置域名服务商的AccessKey
申请域名证书可以手动添加域名解析验证。但使用域名服务商提供的 API 自动添加txt解析的方式来完成验证,会更方便后续实现自动化的ssl证书续订。
根据不同类型的域名服务商,我们选择对应的DNS API :https://github.com/acmesh-official/acme.sh/wiki/dnsapi
首先我们需要获取域名服务商提供的AccessKey,这是用来作为调用API的凭证。因为我的域名是在阿里云买的,这里以阿里云作为示例,可以点击这个链接申请阿里云的Accesskey:https://usercenter.console.aliyun.com/#/manage/ak
你可以使用全局的AccessKey,也可以使用子账号的AccessKey。因为全局AccessKey具有的阿里云账号的所有权限,更建议使用子账号。这里我使用子账号的AccessKey(但注意,子账号必须设置好dns相关权限),生成AccessKey ID 和 AccessKey Secret 如下图:
获取到阿里云的AccessKey ID和Access Scret后将它们加入到系统环境变量中
1 | export Ali_Key="Your aliyun AccessKey ID" |
2.1 生成证书
配置好之后,使用以下命令生成证书
1 | $ .acme.sh/acme.sh --issue --dns dns_ali -d putianhui.cn -d *.putianhui.cn |
这里生成两个证书,一个是 https://putianhui.cn 的,另一个使用 * 来代替,即可生成子域名的通配证书。生成证书过程中,会调用服务商API自动添加一条 txt 的域名解析验证,验证通过后会自动删除解析,这个过程对我们来说是无感知的。
注意:如果你没有使用的阿里云的域名,使用上面的命令是不管用的,请参考 二(1)中的 DNS API说明链接。
首次执行上述命令可能会提示如下信息,原因是没有注册。
1 | $ .acme.sh/acme.sh --issue --dns dns_ali -d putianhui.cn -d *.putianhui.cn |
我们使用上述提示命令使用自己邮箱注册一下
1 | $ .acme.sh/acme.sh --set-default-ca --server letsencrypt |
重新执行上面的命令生成证书
1 | $ .acme.sh/acme.sh --issue --dns dns_ali -d putianhui.cn -d *.putianhui.cn |
用法
复制上面生成证书路径下面的公钥和私钥到web服务器,配置好公钥和私钥地址即可
2.2 续期证书
生成的证书有效期为90,80天之后续期,续期命令如下
1 | $ .acme.sh/acme.sh --renew -d putianhui.cn -d *.putianhui.cn |
当然了,你可以做成系统任务,自动化续期,这里不再说明。