最简单的,在win,linux中,用powershell,自动获取Let's Encrypt证书方法
powershell传教士原创 2020-04-12,2022-05更新
Let’s Encrypt证书有效期3个月,支持泛域名【*.你的网站.net】。支持n天内(一般10天内就够用了),用脚本自动续期。
简介:
这个模块支持acmev2的api,这个模块支持跨平台运行,支持linux下使用。这个模块,可以通过http,设置下级域名(dns)来认证域名。不支持通过在httpd下存放特殊文件,来验证域名。
dns插件支持:azure,aliyun,dnspod,aws,windns,bind等
dns插件支持列表:
https://github.com/rmbolger/Posh-ACME/wiki/List-of-Supported-DNS-Providers
https://github.com/rmbolger/Posh-ACME/wiki/List-of-Supported-DNS-Providers
官网:
https://github.com/rmbolger/Posh-ACME
powershell画廊网址:
https://www.powershellgallery.com/packages/Posh-ACME
win,linux下,用管理员安装:
Install-Module -Name Posh-ACME用管理员权限,开启powershell执行权限:(linux跳过此步骤)
Set-ExecutionPolicy RemoteSigned -Force
指定从Let’s Encrypt非生产服务器获取证书,并接受协议:
Set-PAServer LE_STAGE #设定测试服务器,可以无限次数获取证书玩。指定从Let’s Encrypt生产服务器获取证书,并接受协议:
Set-PAServer LE_PROD #设定生产服务器,限制获取证书速率。从其他证书服务商,获取证书:
各家免费ssl的技术参数,和免费天数。
https://github.com/rmbolger/Posh-ACME/blob/main/docs/Guides/ACME-CA-Comparison.md
#Set-PAServer BUYPASS_PROD buypass 生产。免费6个月,不支持通配符。
#Set-PAServer BUYPASS_TEST buypass test
#Set-PAServer ZEROSSL_PROD
#Set-PAServer GOOGLE_PROD
#Set-PAServer GOOGLE_STAGE
#Set-PAServer SSLCOM_RSA
#Set-PAServer SSLCOM_ECC
创建Let’s Encrypt账户:
New-PAAccount -AcceptTOS ` #接受协议,并创建账户,只需要运行一次
-Contact 'me@example.com' #你的网站管理邮箱
-Contact 'me@example.com' #你的网站管理邮箱
通过dns和应答txt,来获取Let’s Encrypt证书:
New-PACertificate '*.example.com','example.com' ` #要授权的域名-DnsPlugin Flurbog `#dns插件名字
-PluginArgs @{FBServer='fb.example.com'; FBCred=(Get-Credential)}
dns插件支持列表:
https://github.com/rmbolger/Posh-ACME/wiki/List-of-Supported-DNS-Providers
https://github.com/rmbolger/Posh-ACME/wiki/List-of-Supported-DNS-Providers
#原理:它通过某个dns插件来工作。支持阿里,腾讯,dnspod等。
#通过dns插件,得到dns管理权限,通过命令,去dns上设置个【uuid类似】的特殊子域名,来证明你拥有域名的管理权限。
#所以这里,需要输入你的dns管理员,账户和密码。
得到的证书,的存储路径:
Windows:%LOCALAPPDATA%\Posh-ACME
linux:
~/.config/Posh-ACME
~/.config/Posh-ACME
证书文件说明:
cert.cer(Base64编码的PEM证书)cert.key(Base64编码的PEM私钥)
cert.pfx(带有证书+密钥的PKCS12容器)
chain.cer(带有颁发CA证书链的Base64编码的PEM)
fullchain.cer(带有cert + chain的Base64编码的PEM)
fullchain.pfx(带有证书+密钥+链的PKCS12容器)
输出,得到的证书,详细信息:
Get-PACertificate | Format-List续订证书:
Submit-Renewalcentos先更新根证书:
yum install ca-certificatesupdate-ca-trust
注意:
关于,用网站文件方式,验证域名。
本软件或模块,不支持用【网站文件方式】验证域名。
另外听闻,使用这种方式,不允许授权 带 * 的泛域名证书。
posted on 2021-03-03 16:14 PowerShell免费软件 阅读(540) 评论(1) 编辑 收藏 举报
