github地址:https://github.com/acmesh-official/acme.sh/wiki/说明
我用的nginx,所以用nginx来讲
(一)安装
curl https://get.acme.sh | sh
一行代码解决
(二)生成证书
acme.sh --issue -d 你的域名 --nginx
如果有多个域名,就添加多个 -d,如
acme.sh --issue -d 你的域名1 -d 你的域名2 --nginx
(三)安装到指定目录
github上说不要使用默认的地址,所以我们要移动到其它文件夹
我是放到了 /etc/nginx/ssl
上,你也可以使用其它文件夹。注意这个文件夹你要先自己建立好,不然会报错
建立文件夹
cd /etc/nginx
mkdir ssl
安装到指定目录
acme.sh --install-cert -d 你的域名 \
--key-file /etc/nginx/ssl/key.pem \
--fullchain-file /etc/nginx/ssl/cert.pem \
--reloadcmd "service nginx force-reload"
之后每次证书自动续期,脚本也会自动调用这个命令
(四)配置nginx
照着改就好
server {
server_name 你的域名;
listen 80;
listen 443 ssl;
ssl_certificate /etc/nginx/ssl/cert.pem;
ssl_certificate_key /etc/nginx/ssl/key.pem;
ssl_session_cache shared:le_nginx_SSL:1m;
ssl_session_timeout 1440m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";
.. 其它配置
}
修改之后重启nginx服务生效
service nginx force-reload
(五)完成
这个脚本会自动续期,所以这样就结束了!
(六)关于泛域名
之前每加一个分站,都要单独再去整一张证书,现在不用了
所有的 *.cym.cm 都可以用同一张证书
域名是在 https://www.quyu.net/ 注册的
解析是在 https://www.dnspod.cn/
找趣域的客服,让他把域名解析过户到自己的账号下
申请dnspod的api的id和key
export DP_Id="你的id"
export DP_Key="你的key"
使用dns方式签发证书
acme.sh --issue --dns dns_dp -d cym.cm -d *.cym.cm