美文网首页
letsencrypt 网站免费SSL证书生成

letsencrypt 网站免费SSL证书生成

作者: DeanWang | 来源:发表于2022-03-02 09:15 被阅读0次

之前一直使用 acme-tiny 执行自动续签letsencrypt SSL证书;最近脚本续签的时候报错;“letsencrypt.org cert error” 总是续签不上;应该是letsencrypt 的CA发生了更新。导致网站证书过期

letsencrypt官方网站上找好用的实现了acme协议并能自动续签的客户端;官方推荐Certbot,但是Certbot需要安装其他依赖包,有点麻烦

找了下其他客户端,acme.sh有中文文档,使用步骤看上去也比较简单,直接按照acme.sh 中文文档的步骤执行就行。

acme.sh  --issue -d abc.com --webroot /var/www/abc/public
acme.sh  --issue -d xyz.com -d other.xyz.com --webroot /var/www/xyz/public

crontab -e可以发现acme.sh 自动添加了每日续期的脚本

16 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步,可以直接开启自动更新

acme.sh  --upgrade  --auto-upgrade

多域名多webroot的问题

之前多个域名配置acme-tiny,在nginx里面统一对/.well-known/acme-challenge/路径进行了处理

# global/verify-acme.conf
location /.well-known/acme-challenge/ {
    alias /var/www/acme-tiny-challenges/;
    try_files $uri =404;
}

使用acme.sh后,由于命令行指定域名和对应的webroot,所以要么把ng里面对/.well-known/acme-challenge/的处理移除,要么在acme.sh的命令行里面将所有域名的webroot指定为同一个,然后ng中配置对应的路径

为了方便,我们将全部域名的验证使用同一个路径 /var/www/acme-tiny-challenges/;这样所有域名也能使用同一个证书;安装证书的时候也更方便

acme.sh会在--webroot指定的路径下创建.well-known/acme-challenge 来对应acme协议里面对应的/.well-known/acme-challenge/ location,因此我们需要将nginx里面的location进行更改

# global/verify-acme.conf
location /.well-known/acme-challenge/ {
    alias /var/www/acme-tiny-challenges/.well-known/acme-challenge/;
    try_files $uri =404;
}

这样所有域名用同一个命令生成同一个证书即可:

# acme.sh 命令
acme.sh  --issue -d abc.com -d xyz.com -d iiiii.com  --webroot /var/www/acme-tiny-challenges

安装证书到指定位置

# -d指定一个域名即可,所有域名用的是同一套证书文件
acme.sh --install-cert -d abc.com --key-file /var/www/acme-tiny-challenges/domain.key --fullchain-file /var/www/acme-tiny-challenges/chained.pem --reloadcmd "service nginx force-reload"

所有域名配置使用同一个证书,统一配置:

  # global/acme-sh-ssl.conf
  ssl on;
  ssl_certificate /var/www/acme-tiny-challenges/chained.pem;
  ssl_certificate_key /var/www/acme-tiny-challenges/domain.key;
  ssl_prefer_server_ciphers on;
  ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
  ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
  ssl_session_timeout 1d;
  ssl_session_cache shared:SSL:50m;

域名配置实例:

server {
        listen      80;
        listen [::]:80;

        server_name abc.com
        root        /var/www/abc/public;
        ...
        include global/verify-acme.conf;
        include global/acme-sh-ssl.conf
    }

相关文章

网友评论

      本文标题:letsencrypt 网站免费SSL证书生成

      本文链接:https://www.haomeiwen.com/subject/trrsrrtx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|letsencrypt 网站免费SSL证书生成|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!