ACME通过dns验证申请Let’s Encrypt免费ssl证书

这么多年来我还是第一次用Let’s Encrypt的证书呢，以前买过2年，后面就一直在腾讯云和阿里云申请免费的ssl证书。

今天是搭建新服务器环境，就趁机试下，刚好我也想测试下cloudns家的api，这不就巧了，查了下资料就顺手记录一下，由于我也是刚用，所以3个月会不会自动更新，我暂时也不知道，反正按照文档操作的。

1、安装Acme脚本

curl https://get.acme.sh | sh
#或者
curl  https://get.acme.sh | sh -s email=my@example.com
#my@example.com （你自己的邮箱）

安装之后会在你服务器的root文件夹里面出现一个文件夹： .acme.sh （看你自己服务器环境配置）

2、更改默认证书机构

acme.sh --set-default-ca  --server  letsencrypt

acme现在默认申请的是ZeroSSL，但是ZeroSSL不太稳定，所以换成letsencrypt家的。

3.1、申请ssl证书（http网站目录验证方式）

需要你把域名先解析到你服务器的网站上，然后用这个网站目录去申请。

比如：网站目录是jingxialaiweb，先把jingxialai.com域名直接解析到服务器的ip上，访问jingxialai.com是出现jingxialaiweb目录里面的网站内容才行，

acme.sh --issue -d jingxialai.com -d www.jingxialai.com --webroot /data/wwwroot/jingxialaiweb

申请成功之后在 .acme.sh文件夹里面就有对应jingxialai.com_ecc的文件夹，里面有几个文件，我们只需要用到jingxialai.com.cer和jingxialai.com.key就行。

3.2、申请ssl证书（dns域名验证方式）

这个就是我想要的，我域名在cloudns，所以需要先去添加一个api和密码，然后拿到api和密码之后再操作。

export CLOUDNS_AUTH_ID=1
export CLOUDNS_AUTH_PASSWORD="11111"

CLOUDNS_AUTH_ID就是auth-id，CLOUDNS_AUTH_PASSWORD就是对应设置的密码，然后再执行申请命令：

acme.sh --issue --dns dns_cloudns -d jingxialai.com -d www.jingxialai.com
#或者
acme.sh --issue --dns dns_cloudns -d jingxialai.com -d *.jingxialai.com
#通过api的方式支持通配符

如果api和密码正确，就等个几分钟，成功之后会显示Cert success，然后你在.acme.sh文件夹里面也能看见对应ssl证书的文件夹。

因为自动生成的证书都在~/.acme.sh/文件夹里面，我们需要把证书移动到你环境里面的ssl文件夹去，但是不能手动移动，需要用acme.sh自己的命令才行，手动移动就不能自动更新了，用到的命令：

acme.sh --install-cert -d jingxialai.com \
		--key-file   /usr/local/nginx/conf/ssl/jingxialai.com.key  \
		--fullchain-file /usr/local/nginx/conf/ssl/jingxialai.com.cer \
		--reloadcmd     "service nginx force-reload"

这个/usr/local/nginx/conf/ssl/文件夹路径，是根据你自己的来，nginx具体怎么配置ssl证书就不说了，我网站以前发过，不过很多年了，我们旗下有个教程网站，后期会更新相关教程。

如果域名使用cloudflare cdn模式，可以直接用他家的api申请：

获取cloudflare API key：https://dash.cloudflare.com/profile/api-tokens

export CF_Key="key" 
export CF_Email="cf 邮箱"

申请的dns_cloudns换成dns_cf就行了。

4、自动更新ssl证书

我们可以先看定时任务：crontab -l

里面会有相关的命令，比如我今天测试这个是：

52 13 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

再设置一下acme.sh更新，因为经常变协议，所以还是设置下自动更新比较好。

acme.sh --upgrade --auto-upgrade
#自动更新
acme.sh --upgrade
#手动更新

查看证书列表：

source ~/.bashrc
acme.sh --list

删除域名：

acme.sh --remove -d jingxialai.com

如果在用的时候出现什么错误，可以开启debug模式

acme.sh --issue  .....  --debug 2

我是看了文档，也看了其他人的教程，综合了一下，会不会自动更新，我暂时也不知道，3个月后看吧。

参考：

https://github.com/acmesh-official/acme.sh/wiki/dnsapi

https://www.cloudns.net/wiki/article/186

Linux, 运维

Tagged in:

Acme教程, Let’s Encrypt证书, 免费ssl证书

ACME通过dns验证申请Let’s Encrypt免费ssl证书

1、安装Acme脚本

2、更改默认证书机构

3.1、申请ssl证书（http网站目录验证方式）

3.2、申请ssl证书（dns域名验证方式）

4、自动更新ssl证书

你可能喜欢

Linux服务器系统自动重启PHP服务脚本

ucloud服务器香港快杰S型1核4G测评

Nginx里面return和rewrite的区别以及写法