acme.sh自动配置免费SSL泛域名证书并续期(Aliyun + Debian + nginx

以前使用Certbot自动配置SSL证书需要安装snap管理器安装Certbot,期间还要去找AliDNS脚本比较麻烦。如果不想如此,推荐使用acme.sh自动化脚本,更方便快捷。

1. 安装acme.sh

curl https://get.acme.sh | sh -s email=你的邮箱名@邮箱.com

脚本会安装home目录下:~/.acme.sh/。同时会创建一个cronjob每天检测证书,快过期自动更新

2. 更换证书提供商CA

默认使用ZeroSSL提供证书,可以切换到Letsencrypt

acme.sh --set-default-ca --server letsencrypt

当然,不换也行,ZeroSSL也能用。

3. 添加阿里域名证书

注意泛域名证书不支持域名,如”.example.com“证书不支持example.com
如果不使用泛域名,有多种添加证书的方法(前提是你得有)。如:

# 先添加阿里云Aliyun的DNS api密钥临时环境变量
export Ali_Key="你的Aliyun Api Key"
export Ali_Secret="你的Aliyun Ali_Secret"
# 注册域名和泛域名证书,默认ECC证书为ec-256
acme.sh --issue --dns dns_ali -d 'example.com' -d '*.example.com'
# 上面的临时变量,在添加证书后,会保存account.conf中,后续不需要指定

4. 将证书安装到Apache/Nginx等

生成证书后,您可能希望将证书安装/复制到您的Apache/Nginx或其他服务器
您必须使用此命令将证书复制目标文件,请勿使用~/.acme.sh/文件夹中的证书文件,它们仅供内部使用,文件夹结构将来可能更改

acme.sh --install-cert -d 'example.com' 
--key-file       /etc/acme/ssl/example.com/example.com.key  
--fullchain-file /etc/acme/ssl/example.com/example.com.crt 
--reloadcmd     "service nginx force-reload"

acme.sh --install-cert -d '*.example.com' 
--key-file       /etc/acme/ssl/example.com/wildcard.example.com.key  
--fullchain-file /etc/acme/ssl/example.com/wildcard.example.com.crt 
--reloadcmd     "service nginx force-reload"

5. 配置你的Apache/Nginx

自行修改Apache/Nginx配置指定SSL证书到上一步路径

6. 更新acme.sh

目前由于acme协议letsencrypt CA都在频繁的更新, 因此acme.sh也经常更新以保持同步升级acme.sh到最新版:

acme.sh --upgrade

如果你不想手动升级, 可以开启自动升级:

acme.sh --upgrade --auto-upgrade

之后, acme.sh 就会自动保持更新了。
你也可以随时关闭自动更新:

acme.sh --upgrade --auto-upgrade  0

7. 其它和卸载

acme.sh支持help帮助,自行处理

原文地址:https://blog.csdn.net/liuweilhy/article/details/134751175

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_29792.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注