证书申请

 转载:https://ww_w.wosign.com/Docdownload/index.htm#转载
 https://myssl.com/csr_create.html
 

场景描述: 厅主域名自己管理,公司维护其推广主站和APP。减少和客户的交互,申请域名证书采用URL验证而不是DNS TXT记录方式。用户的推广web服务在同一台机器,直接在服务器上部署自动申请证书脚本。

关于freessl.cn的注册和使用参考链接如下:

https://freessl.cn/ #账户注册

https://blog.freessl.cn/freessl-acme-sh-usage/ #证书自动申请参考文档

申请证书案例:
acme.sh --issue -d  www.4399hl.com  -d  4399hl.com  --webroot /home/wwwroot/4399huanleqipai/pc/dist  --server https://acme.freessl.cn/directory
cd  ~/.acme.sh/www.4399hl.com
sudo cp  fullchain.cer ${YOUR_SSL_PATH}/www.4399hl.com.crt
sudo cp  www.4399hl.com.key   ${YOUR_SSL_PATH}/www.4399hl.com.key
 
申请注意事项:

webroot目录是网站的根目录,acme.sh脚本会在/home/wwwroot/4399huanleqipai/pc/dist目录下创建验证文件.well-known/pki-validation/fileauth.txt, 需要用户对.well-known目录有写权限;证书默认放置在 ~/.acme.sh/${YOUR_DOMAIN}下。

对于nginx配置ssl,可在初始化配置文件server块中添加 ${YOUR_PATH}/{YOUR_DOMAIN}.ssl的空文件,如:

include includedir/{YOUR_DOMAIN}.conf;

证书申请成功后,在该空文件 ${YOUR_PATH}/{YOUR_DOMAIN}.conf添加以下内容:

listen 443 ssl;
ssl_certificate ssl/{YOUR_DOMAIN}.crt;
ssl_certificate_key  ssl/{YOUR_DOMAIN}.key;
 if ($scheme = http) {
    return 301 https://$server_name$request_uri;
   }

完成后验证nginx配置,reload nginx服务。

建议在server块的初始文件中添加以下内容,则免除权限问题,同时acme.sh --webroot参数值为 /tmp.

location '/.well-known/pki-validation' { root /tmp; }

 

posted @ 2019-06-14 20:05  舍&得  阅读(295)  评论(0)    收藏  举报