文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

一起聊聊如何使用ACME申请SSL证书

2024-11-29 20:38

关注

折腾一番后,我找到了一个免费且优雅的方案,只需要在服务器上安装相关脚本,就能申请到免费的域名证书,它会定期检查证书的有效期,实现到期自动续期与更新,从而有效地获得了一个“永久”的证书。

本文就跟大家详细分享下这个方案,欢迎各位感兴趣的开发者阅读本文。

环境搭建

我们需要用到ACME[1]这个程序来完成证书的申请与签发。

程序安装

首先,我们需要通过SSH连接到服务器,通过以下命令来安装:

curl  https://get.acme.sh | sh

安装程序会自动做以下操作:

• 自动把acme.sh安装到你的 home 的.acme.sh目录下,即~/.acme.sh/

• 自动创建一个 bash的别名,方便命令行的直接使用: alias acme.sh=~/.acme.sh/acme.sh

• 自动为你创建 cron任务, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新,则会自动更新证书。

更改默认证书

因为acme已经被ZeroSSL收购,其默认的证书方式为ZeroSSL,但此证书生成时会携带邮箱,因此需要更换为letsencrypt[2]

acme.sh --set-default-ca  --server  letsencrypt

申请泛域名证书

泛域名证书是一种能够为同一个主域名(例如kaisir.cn)下的所有子域名(如www.kaisir.com、resource.kaisir.cn等)提供安全加密的数字证书。能够通过一个单一的证书来保护主域名及其所有子域名的数据传输,使得网站管理者无需为每个子域名分别购买和管理多个SSL证书。[3]

通过acme申请的证书,可以绑定满足该通配符型规则的任意三级子域名,例如:

www.kaisir.cn
test.kaisir.cn
aaa.kaisir.cn
bb.kaisir.cn
...

如果你对数字证书比较感兴趣,可以移步我的另一篇文章:数字证书的理解[4]

获取 DNS API 参数

acme提供的泛域名证书只能通过dns的形式来做验证,因此我们需要进入域名解析控制台(你可以在此处[5]找到你的域名解析提供商)创建API ID 和 API Key。

我这里以阿里云为例,登录成功后,去到阿里云的RAM访问控制面板[6]来创建用户。

图片

• 创建完用户之后,点击添加权限按钮

图片

• 勾选第一页的所有权限

图片

• 复制AccessKey ID和AccessKey Secret下来,保存好。

图片

配置环境变量

由于每个平台的环境变量名称是不一样的,因此你需要去acme-dnsapi网站[7]里找到你平台的变量名。我这里以阿里云为例,将key和secret换成上一步创建的即可。

export Ali_Key="key"
export Ali_Secret="secret"

生成证书

做完上述操作后,我们的准备工作就做完了,可以使用acme.sh脚本来创建证书了。

acme.sh --issue --dns dns_ali -d kaisir.cn -d '*.kaisir.cn' --dnssleep 300 --debug

• --dns 用于指定dns校验平台,我这里是阿里云

• 第一个-d是你的网站主域名,第二个是泛域名

•  --dnssleep用于等待操作,因为把txt添加到后台,解析不一定能做到立刻生效,所以需要延时一下,此处我设置了300秒的延时,执行命令的过程会有个等待倒计时。

•  --debug开启调试模式,创建过程中会打印详细的日志出来,方便定位错误。

创建成功后,你将看到如下所示的内容:

图片

安装证书

最后,我们只需要找到创建好的证书,将其在服务器上的路径填写到nginx中即可。脚本会在证书快到期时,自动续期并创建相关文件。

本章节将以我的服务器为例,跟大家分享下如何去做相关的配置。

配置路径映射

如果你的服务是直接运行在宿主机上的,请跳过这一步。

我的服务是运行在docker容器里的,因此需要先把服务器的证书路径映射进容器中,此处我以docker-compose为例,在volumes节点下添加映射即可。

nginx-server:
        image: nginx:1.18.0
        container_name: local_nginx
        volumes:
            - /root/.acme.sh/kaisir.cn_ecc:/usr/share/acme

注意:如果你只使用了docker,则需要在运行docker run指令时,通过添加-v参数来添加路径映射,例如docker run -v /root/.acme.sh/kaisir.cn_ecc:/usr/share/acme。

• /root/.acme.sh/kaisir.cn_ecc 是宿主机上的路径

• /usr/share/acme是容器内部的路径

如果你对docker不是很了解,可以移步我的另一篇文章:使用docker来编排Web应用[8]

配置nginx

随后,我们就可以打开nginx的配置文件,指定ssl证书的位置即可。

• /usr/share/acme/就是我们上一步所映射出来的路径

• fullchain.cer就是我们申请到的泛域名证书

server {
    # 配置ssl证书
    ssl_certificate   /usr/share/acme/fullchain.cer;
    ssl_certificate_key  /usr/share/acme/kaisir.cn.key;
}

实现效果

最后,我们重启nginx,通过浏览器访问网站就能看到证书信息了🤗

图片

• 访问子域名的服务也是正常的

图片

• 证书详情如下所示

图片

引用链接

[1] ACME: https://letsencrypt.org/zh-cn/docs/client-options/

[2] letsencrypt: https://letsencrypt.org/

[3] www.kaisir.com、resource.kaisir.cn等)提供安全加密的数字证书。能够通过一个单一的证书来保护主域名及其所有子域名的数据传输,使得网站管理者无需为每个子域名分别购买和管理多个SSL证书。: http://www.kaisir.com、resource.kaisir.cn等)提供安全加密的数字证书。能够通过一个单一的证书来保护主域名及其所有子域名的数据传输,使得网站管理者无需为每个子域名分别购买和管理多个SSL证书。

[4] 数字证书的理解: https://www.kaisir.cn/post/58

[5] 此处: https://github.com/acmesh-official/acme.sh/wiki/dnsapi

[6] RAM访问控制面板: https://ram.console.aliyun.com/users

[7] acme-dnsapi网站: https://github.com/acmesh-official/acme.sh/wiki/dnsapi

[8] 使用docker来编排Web应用: https://www.kaisir.cn/post/175

[9] 个人网站: https://www.kaisir.cn/

来源:神奇的程序员内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯