官方文档:https://github.com/acmesh-official/acme.sh
acme.sh 实现了 acme 协议,可以从 Let's Encrypt 生成免费的证书。
安装 acme.sh
安装命令,请修改为自己的邮箱
curl https://get.acme.sh | sh -s email=my@example.com
以上命令会完成两项工作:
- 把
acme.sh安装到你的home目录下:
- 把
~/.acme.sh/
如果使用 root 用户安装,相应地会安装到 root 目录下。
- 自动为你创建
cronjob, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书.
- 自动为你创建
更高级的安装选项请参考: https://github.com/Neilpang/acme.sh/wiki/How-to-install
安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录 ~/.acme.sh/ 中。
生成证书
acme.sh 实现了 acme 协议支持的所有验证协议,有两种方式验证: http 验证 和 dns 验证。
1. http 方式
http 方式需要在你的网站根目录下放置一个文件,来验证你的域名所有权,完成验证后就可以生成证书。
运行命令:
# 改成你的域名和你的网站根目录
acme.sh --issue -d mydomain.com -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/
只需要指定域名, 并指定域名所在的网站根目录。acme.sh 会全自动的生成验证文件,并放到网站的根目录,然后自动完成验证。最后会自动删除验证文件。整个过程没有任何副作用。
使用 apache 服务器
如果你用的 apache 服务器,acme.sh 还可以智能地从 apache 的配置中自动完成验证,你不需要指定网站根目录:
acme.sh --issue -d mydomain.com --apache
使用 nginx 服务器
如果你用的 nginx 服务器, 或者反代,acme.sh 还可以智能地从 nginx 的配置中自动完成验证,你不需要指定网站根目录:
acme.sh --issue -d mydomain.com --nginx
注意,无论是 apache 还是 nginx 模式,acme.sh 在完成验证之后,都只会生成证书,不会私自更改你本身的配置,你需要自己配置 ssl 的配置。否则你的网站还是无法访问 https。
这时候生成的证书会存放在 ~/.acme.sh/mydomain.com_ecc 目录下(取决于你的域名)。
2. DNS 方式
手动 DNS 方式,手动在域名上添加一条 txt 解析记录,验证域名所有权。
这种方式的好处是,你不需要任何服务器,不需要任何公网 ip, 只需要 dns 的解析记录即可完成验证。坏处是,如果不同时配置 Automatic DNS API,使用这种方式 acme.sh 将无法自动更新证书,每次都需要手动再次重新解析验证域名所有权。
申请证书:
acme.sh --issue --dns -d mydomain.com \
--yes-I-know-dns-manual-mode-enough-go-ahead-please
然后,acme.sh 会生成相应的解析记录显示出来,你只需要在你的域名提供商管理面板中添加这条 txt 记录即可。
以 域名解析商 godaddy 为例:
等待解析完成之后,重新生成证书:
acme.sh --renew -d mydomain.com \
--yes-I-know-dns-manual-mode-enough-go-ahead-please
注意第二次这里用的是 --renew。
DNS 方式的真正强大之处在于可以使用域名解析商提供的 api 自动添加 txt 记录完成验证,我们也更推荐这种方式。
acme.sh 目前支持 cloudflare,dnspod,cloudxns,godaddy,ovh 等数十种解析商的自动集成。更详细的 api 用法参见:https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md
这里继续以 godaddy 为例。
先进入 godaddy 的开发者页面: https://developer.godaddy.com/keys/
然后创建新的 API key,选择 Production:
这时候就能获得 Key 和 Secret 两个字符串。
我们把刚才获得的 Key 和 Secret 写入到 VPS 的环境变量中:
export GD_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export GD_Secret="asdfsdafdsfdsfdsfdsfdsafd"
然后生成证书:
acme.sh --issue --dns dns_gd -d example.com -d www.example.com
同样地,生成的证书会存放在 ~/.acme.sh/mydomain.com_ecc 目录下(取决于你的域名)。
在获得证书后我们就可以使用它们来创建 https 链接,注意不要直接在上述路径中使用它们,应该把证书复制到其他文件路径后再去 apache 或 nginx 配置中引用其路径。
更新证书
如需强制更新证书,可使用 --renew 命令:
acme.sh --renew -d example.com --force
acme.sh --renew -d example.com --force --ecc # 如果用的是ECC证书
网友评论