使用acme.sh申请免费证书并自动续期
github地址:https://github.com/acmesh-official/acme.sh/wiki/说明
我用的nginx,所以用nginx来讲
(一)安装
curl https://get.acme.sh | sh -s email=my@example.com一行代码解决
(二)生成证书
acme.sh --issue -d 你的域名 --nginx如果有多个域名,就添加多个 -d,如
acme.sh --issue -d 你的域名1 -d 你的域名2 --nginx(三)安装到指定目录
github上说不要使用默认的地址,所以我们要移动到其它文件夹
我是放到了 /etc/nginx/ssl 上,你也可以使用其它文件夹。注意这个文件夹你要先自己建立好,不然会报错
建立文件夹
cd /etc/nginx
mkdir ssl安装到指定目录
acme.sh --install-cert -d 你的域名 \
--key-file /etc/nginx/ssl/key.pem \
--fullchain-file /etc/nginx/ssl/cert.pem \
--reloadcmd "systemctl restart nginx"之后每次证书自动续期,脚本也会自动调用这个命令
(四)配置nginx
照着改就好
server {
server_name 你的域名;
listen 80;
listen 443 ssl;
ssl_certificate /etc/nginx/ssl/cert.pem;
ssl_certificate_key /etc/nginx/ssl/key.pem;
ssl_session_cache shared:le_nginx_SSL:1m;
ssl_session_timeout 1440m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";
.. 其它配置
}修改之后重启nginx服务生效
systemctl restart nginx(五)完成
这个脚本会自动续期,所以这样就结束了!
(六)关于泛域名
之前每加一个分站,都要单独再去整一张证书,现在不用了
所有的 *.cym.cm 都可以用同一张证书
看你的域名解析商是哪个,我只用过dnspod和cloudflare
DnsPod
申请dnspod的api的id和key
export DP_Id="你的id"
export DP_Key="你的key"使用dns方式签发证书
acme.sh --issue --dns dns_dp -d cym.cm -d *.cym.cmCloudFlare
申请cloudflare的apikey
export CF_Key="你的apikey"
export CF_Email="你在cf注册的邮箱"使用dns方式签发证书
acme.sh --issue --dns dns_cf -d cym.cm -d *.cym.cm