注意:在使用 SSL 证书时,如 *.example.com 证书,仅支持 a.example.com, a1.example.com, a2.example.com 以此类推域名,但是不支持 b.a.example.com(另一级), b1.a.example.com 类域名,如需支持,需另外再购买一张 *.a.example.com 证书。
原理
通过let's encrypt 与阿里云dns解析api结合,自动颁发证书。
获取阿里云AK(1)
image
image
推荐使用子用户授权 ,使用子账户的AK(AccessKey ID + Access Key Secret)
子账户授权 : 须给子账户授权如下图
image
获取腾讯云AK(2)
*秘钥获取地址:https://console.dnspod.cn/account/token (和腾讯云账号密码一致)
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
acme.sh --issue --dns dns_dp -d example.com -d www.example.com
使用 acme.sh
acme.sh 是一个非常优秀的证书生成工具,其 官网 有详细的中文文档支持 。
- 安装 acme.sh 命令
curl https://get.acme.sh | sh
需要系统支持 socat 及 curl 模块
安装完成后将会在 home 目录下生成 .acme.sh 文件夹
为了使用方便,增加alias
alias acme.sh=~/.acme.sh/acme.sh
生成证书
- 首先将AK临时加入到环境变量中
export Ali_Key="xxxxxx"
export Ali_Secret="xxxxxxxxxxx"
- 注册账号设置邮箱
acme.sh --register-account -m my@example.com
- 执行命令
acme.sh --issue --dns dns_ali -d *.example.com
- 更新主目录不要重复
/home/zxb/ssl/ != /home/zxb/.acme.sh/
mkdir ssl
cp -r /home/zxb/.acme.sh/*.example.com/* /home/zxb/ssl/*.example.com/
- 加入定时更新
acme.sh --installcert -d *.example.com --key-file /home/zxb/ssl/*.example.com/*.example.com.key --fullchain-file /home/zxb/ssl/*.example.com/fullchain.cer --reloadcmd "sudo service nginx force-reload" --log
- archlinux =>
sudo service nginx force-reload修改为:sudo systemctl reload nginx
如果更新的账号非root权限或sudo权限,sudo权限需要设置不需要输入密码
相关设置:https://www.jianshu.com/p/140c1a6e29a9
接下来你将看到一个120秒的倒计时
image
倒计时之后证书将会存储到 ~/.acme.sh/*.example.com中
image
nginx 配置
server {
#listen 80;
listen 443 ssl;
server_name *.[域名名].com;
#设置长连接
keepalive_timeout 70;
#HSTS策略
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
ssl_certificate /home/zxb/.acme.sh/*[域名名]/*.[域名名].cer;
ssl_certificate_key /home/zxb/.acme.sh/*.[域名名]/*.[域名名].key;
#优先采取服务器算法
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#定义算法
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
#减少点击劫持
add_header X-Frame-Options DENY;
#禁止服务器自动解析资源类型
add_header X-Content-Type-Options nosniff;
#防XSS攻擊
add_header X-Xss-Protection 1;
gzip on;
gzip_min_length 1k;
gzip_comp_level 9;
gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;
gzip_vary on;
gzip_disable "MSIE [1-6]\.";
location / {
proxy_pass http://127.0.0.1:8001;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#proxy_set_header Via "nginx";
}
域名更新续期
#安装acme
curl https://get.acme.sh | sh
wget -O - https://get.acme.sh | sh
#查看acme版本
acme.sh --version
#请填写实际key&Secret
export Ali_Key="4xvxbCThnjerg955"
export Ali_Secret="fwyhkkp0"
#申请证书
acme.sh --issue --dns dns_ali -d *.peakchao.com
#更新证书
acme.sh --renew -d '*.peakchao.com' --force
# 查看证书列表
acme.sh --list
# 删除证书
acme.sh remove <SAN_Domains>
# 要停止更新证书,您可以执行以下操作从更新列表中删除证书
acme.sh --remove -d example.com [--ecc]
#升级 acme.sh 到最新版:
acme.sh --upgrade
#开启自动升级:
acme.sh --upgrade --auto-upgrade
#关闭自动更新:
acme.sh --upgrade --auto-upgrade 0
#以下命令无需执行,据查看,acme会自动添加续期的定时任务
crontab -e
# 添加如下的任务:三个月执行一次
0 0 29 */3 * acme.sh --renew -d '*.peakchao.com' --force
#最后请不要忘记修改nginx配置以及重启
问题一
- curl: (35) Network file descriptor is not connected
$ curl https://get.acme.sh | sh
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- 0:00:14 --:--:-- 0curl: (6) Could not resolve host: get.acme.sh; Unknown error
原因:无法访问github.com,解决方式:GitHub 解决访问错误的问题 https://www.jianshu.com/p/ccb63a379575
问题二
...
[Mon Mar 7 22:12:23 CST 2022] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 7
[Mon Mar 7 22:12:23 CST 2022] Not valid yet, let's wait 10 seconds and check next one.
[Mon Mar 7 22:12:24 CST 2022] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 35
...
- 解决办法,修改host对Github的域名IP映射
sudo vi /etc/hosts
添加一下解析
140.82.114.4 github.com
185.199.108.153 github.github.io
199.232.69.194 github.global.ssl.fastly.net
199.232.28.133 raw.githubusercontent.com
- 更新证书
acme.sh --renew -d *.domain.com --force
...
[Mon Mar 7 22:34:09 CST 2022] The DNS record already exists.
[Mon Mar 7 22:34:09 CST 2022] Error add txt for domain:_acme-challenge.wc.domain.com
[Mon Mar 7 22:34:09 CST 2022] Please check log file for more details: /home/zxb/.acme.sh/acme.sh.log
...
有时候一次不能成功,多尝试几次
acme.sh --renew -d *.domain.com --force
网友评论