本文最后更新于 152 天前,如有失效请评论区留言。
关于 https 证书,有很多的方案,之前的文章中介绍过 npm, 另外还介绍过 ohttps,都能免费的生成证书。
今天再介绍一个自动续签证书的工具 acme.sh
ACME安装
curl https://get.acme.sh | sh -s email=10xxxxxx@qq.com创建一个 alias,方便使用
alias acme.sh=~/.acme.sh/acme.sh生成证书
使用 acme.sh --issue 命令生成证书的同时会进行域名的所有权的验证,acme.sh 有两种方式验证:HTTP 和 DNS 验证。HTTP 模式无法申请泛域名证书,下面直接用 DNS 的方式
DNS 解析
我这里使用 DNS 的方式,例如我的域名是解析到 cloudflare,这就需要拿到 cloudflare API key,在账户设置里就可以看到,这种方式不需要添加txt解析记录
cloudflare 执行下面的命令,如果是其他的域名托管商,则需要查询对应的DNS API
export CF_Key="41ef724696fc71d7761c2cd881214a"
export CF_Email="100xxxxx0@qq.com"生成和安装证书
acme.sh --issue -d "esbhs.org" -d "*.esbhs.org" --dns dns_cf --key-file /www/app/nginx/ssl/cert.key --fullchain-file /www/app/nginx/ssl/fullchain.pem- -d 表示你要申请证书的域名,我这里写了两个,一个根域名,一个泛域名,都是支持的
- --dns 表示指定域名提供商,dns_cf指 cloudflare
- key-file 和 fullchain-file 指定证书生成的路径和名称
上述命令执行成功后,查看 crontab,发现生成了一条定时任务,这里意思是每天7点47定期检查所有证书,如果证书需要更新会自动更新证书,我们不需要做任何修改
crontab -l
47 7 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null当然你也可以使用如下命令手动更新
acme.sh --renew -d esbhs.org -d "*.esbhs.org"如果不需要更新,则使用如下命令移除域名证书自动更新
acme.sh --remove -d esbhs.org -d "*.esbhs.org"总结
使用 acme.sh 非常简单便捷的就能完成 https 证书申请,就三个步骤:安装工具、配置DNS解析,执行证书生成命令,结束。