全站HTTPS升级系列（二）基于 acme.sh从Letsenc

前言

上篇，我们科普了HTTPS的简单概念 本篇，我们介绍基于 acme.sh从Letsencrypt生成免费的泛域名证书

环境

• linux服务器，操作系统为 centos7.2
• nginx 1.10.1
• acme.sh v2.8.0

一、安装acme.sh

# 安装依赖环境
yum -y install curl cron socat
# 下载并安装acme.sh
curl  https://get.acme.sh | sh

执行上述命令后，会在/root文件夹下建立一个.acme.sh的目录

安装完后执行acme.sh，提示命令没找到。执行如下指令即可

source ~/.bashrc

二、申请域名解析服务商API token ，完成DNS验证

DNS验证的意义在于证明域名的所有人是你，而不是别人。

acme.sh是通过操作当前域名的DNS解析记录，来自动完成DNS校验的，这样省了我们很多力气，而且不容易出错。

但是acme.sh不是随随便便就就能操作当前域名的DNS解析记录的，必须通过当前域名的域名注册服务商授权才可以。这就需要用到了API token

目前acme.sh支持的域名注册服务商有阿里云，亚马逊AWS，微软Azure，DNSPod等

如果当前域名是在腾讯云上注册的：

本人的域名就是在腾讯云上注册的，先说下本人所经历的一些波折：

本人的域名是在腾讯云上面注册的，于是想当然的以为域名的注册服务商就是腾讯云，然而没找到acme.sh对腾讯云的支持的配置项，让我百思不得其解。 后来看腾讯云后台，看到域名解析服务器地址是f1g1ns1.dnspod.net,猜想莫非腾讯云背后用的是委托dnspod来进行域名解析的？ 然后发现了《DNSPod并入腾讯云，创始人吴洪声离开》这条新闻，才知道dnspod和腾讯云是一家。 换句话说，如果你的域名是托管在了腾讯云上面的，那么你域名的解析服务商就是DNSPod。 你可以用腾讯云的账号或者腾讯云绑定的QQ，微信登录dsnpod的后台。

登录 dnspod后台。如果域名是在腾讯云上注册的，那么可以用腾讯云的账号密码或者腾讯云绑定的QQ、微信登录。

点击左侧的安全设置，『创建API Token』。

创建成功后，千万记着把ID和Token记录下来，因为窗口一旦关闭信息就无法找回了。

image.png

执行如下命令，把DP_Id和DP_Key的值替换成你刚刚申请的id和token(注意空格和中英文引号)

export DP_Id="xxxxxxxx"
export DP_Key="xxxxxxxxxxxxxxxxxxxxxxxxxxxx"

如果当前域名是在阿里云上注册的：

请先前往阿里云后台获取App_Key跟App_Secret 。，然后执行以下脚本

# 替换成从阿里云后台获取的密钥
export Ali_Key="xxxx"
export Ali_Secret="xxxxxxxxxxxxxxxxxxxxxxxxxxx"

三、生成泛域名证书

acme.sh --issue --dns dns_dp -d msh.com -d *.msh.com

正常情况下，该命令执行成功需要120秒。

如果这个过程中报错，可以加上debug参数，重新执行一遍，查看更详尽的错误原因(90%的问题都在于token不合法)

acme.sh --issue --dns dns_dp -d msh.com -d *.msh.com --debug 2

四、复制证书到指定位置

---

疑惑： 为什么要把acme.sh生成的证书位置从默认生成位置拷贝到其它地方？

解疑： 因为acme.sh生成的文件夹结构可能会变，所以需要将证书复制到别的位置

---

疑惑： 为什么不能手动通过mv 或者 cp命令来复制证书到指定位置？

解疑： SSL证书是有有效期的，到期acme.sh会自动更新你的安全证书，并重启nginx服务器，让证书生效。所以你必须告诉acme.sh你指定的SSL证书存放位置，以及重启nginx服务器的命令。通过--installcert参数，指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用.

---

如下，本人指定的证书存放目录为/mycertify/ssl 重启nginx服务器的命令为/usr/local/nginx/sbin/nginx -s reload

完整的安装证书命令如下：

acme.sh --installcert -d msh.com   --key-file /mycertify/ssl/msh.com.key  --fullchain-file /mycertify/ssl/msh.com.cer   --reloadcmd "/usr/local/nginx/sbin/nginx  -s reload"

至此，通过acme.sh生成泛域名证书大功告成。

下篇，我们讲解如何通过生成的SSL证书，基于nginx配置全站https

系列文章

全站HTTPS升级系列（一）升级前的科普工作

全站HTTPS升级系列（二）基于 acme.sh从Letsencrypt生成免费的泛域名证书

全站HTTPS升级系列（三）nginx配置全站HTTPS

全站HTTPS升级系列（四）项目代码升级改造

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。
https://juejin.im/post/5c385c0a6fb9a049ac7960be