Let’s Encrypt 是免费、开放和自动化的证书颁发机构。目前有很多网站使用Let’s Encrypt证书做https加密。我也一直在用,不过以前都是用的单域名证书,新建网站就需要重新申请,比较麻烦。但现在已经可以申请Let’s Encrypt通配证书了。

实际上,申请 Let’s Encrypt 生成证书的工具不止一种,我用过 cerbot 和 acme.sh。以前用 cerbot 申请的时候不得不停掉 80 端口的服务,感觉不太友好。后来用 acme.sh 简单一点,本文将介绍如何使用 acme.sh 来独立申请域名通配证书。

acme.sh 项目地址为https://github.com/acmesh-official/acme.sh,本文参考官方文档。

一、安装

1
2
3
$ curl  https://get.acme.sh | sh
[2022年 01月 07日 星期五 09:24:40 CST] OK
[2022年 01月 07日 星期五 09:24:40 CST] Install success!	# 出现此消息安装成功。

安装完成之后会在当前目录下生成 .acme.sh 目录

二、生成证书

2.0 配置域名服务商的AccessKey

申请域名证书可以手动添加域名解析验证。但使用域名服务商提供的 API 自动添加txt解析的方式来完成验证,会更方便后续实现自动化的ssl证书续订。

根据不同类型的域名服务商,我们选择对应的DNS API :https://github.com/acmesh-official/acme.sh/wiki/dnsapi

首先我们需要获取域名服务商提供的AccessKey,这是用来作为调用API的凭证。因为我的域名是在阿里云买的,这里以阿里云作为示例,可以点击这个链接申请阿里云的Accesskey:https://usercenter.console.aliyun.com/#/manage/ak

你可以使用全局的AccessKey,也可以使用子账号的AccessKey。因为全局AccessKey具有的阿里云账号的所有权限,更建议使用子账号。这里我使用子账号的AccessKey(但注意,子账号必须设置好dns相关权限),生成AccessKey ID 和 AccessKey Secret 如下图:

获取到阿里云的AccessKey ID和Access Scret后将它们加入到系统环境变量中

1
2
export Ali_Key="Your aliyun AccessKey ID"
export Ali_Secret="Your aliyun AccessKey Secret"

2.1 生成证书

配置好之后,使用以下命令生成证书

1
$ .acme.sh/acme.sh --issue --dns dns_ali -d putianhui.cn -d *.putianhui.cn

这里生成两个证书,一个是 https://putianhui.cn 的,另一个使用 * 来代替,即可生成子域名的通配证书。生成证书过程中,会调用服务商API自动添加一条 txt 的域名解析验证,验证通过后会自动删除解析,这个过程对我们来说是无感知的。

注意:如果你没有使用的阿里云的域名,使用上面的命令是不管用的,请参考 二(1)中的 DNS API说明链接。

首次执行上述命令可能会提示如下信息,原因是没有注册。

1
2
3
4
5
6
7
8
$ .acme.sh/acme.sh --issue --dns dns_ali -d putianhui.cn -d *.putianhui.cn
[2022年 01月 07日 星期五 09:33:28 CST] Using CA: https://acme.zerossl.com/v2/DV90
[2022年 01月 07日 星期五 09:33:28 CST] Create account key ok.
[2022年 01月 07日 星期五 09:33:28 CST] No EAB credentials found for ZeroSSL, let's get one
[2022年 01月 07日 星期五 09:33:28 CST] acme.sh is using ZeroSSL as default CA now.
[2022年 01月 07日 星期五 09:33:28 CST] Please update your account with an email address first.
[2022年 01月 07日 星期五 09:33:28 CST] acme.sh --register-account -m my@example.com
[2022年 01月 07日 星期五 09:33:28 CST] See: https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA

我们使用上述提示命令使用自己邮箱注册一下

1
2
$ .acme.sh/acme.sh --set-default-ca --server letsencrypt
$ .acme.sh/acme.sh --register-account -m 这里随便写一个你的邮箱地址

重新执行上面的命令生成证书

1
2
3
4
5
$ .acme.sh/acme.sh --issue --dns dns_ali -d putianhui.cn -d *.putianhui.cn
[2022年 01月 07日 星期五 09:39:43 CST] Your cert is in: /root/.acme.sh/putianhui.cn/putianhui.cn.cer	# 这个是ssl的公钥
[2022年 01月 07日 星期五 09:39:43 CST] Your cert key is in: /root/.acme.sh/putianhui.cn/putianhui.cn.key	# 这个是ssl的私钥
[2022年 01月 07日 星期五 09:39:43 CST] The intermediate CA cert is in: /root/.acme.sh/putianhui.cn/ca.cer
[2022年 01月 07日 星期五 09:39:43 CST] And the full chain certs is there: /root/.acme.sh/putianhui.cn/fullchain.cer

用法

复制上面生成证书路径下面的公钥和私钥到web服务器,配置好公钥和私钥地址即可

2.2 续期证书

生成的证书有效期为90,80天之后续期,续期命令如下

1
$ .acme.sh/acme.sh --renew -d putianhui.cn -d *.putianhui.cn

当然了,你可以做成系统任务,自动化续期,这里不再说明。