Linux 下基于 acme.sh 脚本实现域名证书的自动签注与续签部署

acme.sh_install_ubuntu_自动申请域名ssl证书

• Linux 下基于 acme.sh 脚本实现域名证书的自动签注与续签部署

0.前言

• 目前的网站如果不使用 https 进行加密的网站大多会被浏览器标注个大大的“不安全”，看着 low，实际上也不安全
• 本文旨在解决上面这个问题，为你提供一个舒爽的上网站点
• 基于 acme.sh 脚本工具实现域名证书的自动申请，签发，部署，自动续签并部署证书

1.安装 acme.sh

• 普通用户和 root 用户都可以安装使用，但是建议 root 安装
• 使用说明：https://github.com/acmesh-official/acme.sh/wiki/How-to-install

1.1.方法1-在线安装-使用脚本一键安装

curl  https://get.acme.sh | sh
# or
wget -O -  https://get.acme.sh | sh

1.2.方法2-离线安装-下载软件离线安装

git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install

## 安装时可以选择自定义部分参数
git clone https://github.com/acmesh-official/acme.sh.git
cd acme.sh
./acme.sh --install -m my@example.com \
--home ~/myacme \
--config-home ~/myacme/data \
--cert-home  ~/mycerts \
--accountemail  "my@example.com" \
--accountkey  ~/myaccount.key \
--accountconf ~/myaccount.conf \
--useragent  "this is my client."

• 安装参数说明

--home is a customized dir to install acme.sh in. By default, it installs into ~/.acme.sh
--config-home is a writable folder, acme.sh will write all the files(including cert/keys, configs) there. By default, it's in --home
--cert-home is a customized dir to save the certs you issue. By default, it's saved in --config-home.
--accountemail is the email used to register account to Let's Encrypt, you will receive renewal notice email here. Default is empty.
--accountkey is the file saving your account private key. By default it's saved in --config-home.
--useragent is the user-agent header value used to send to Let's Encrypt.
----------------------

• 安装完成，需要重新登陆控制台以便脚本命令生效

1.3.优化配置

## 配置快捷方式，命令别名
ll ~/.acme.sh/
alias acme.sh=~/.acme.sh/acme.sh

2.生成域名证书

• 验证域名的所有权

2.1.方法1-手动验证 DNS 解析生成证书

• 特点：不需要AKSK，不需要有 web 服务器和公网 IP，需要手动更新证书

# 执行以下命令，将返回的 txt 解析记录配置到对应的域名解析中
acme.sh  --issue  --dns  -d www.zuiyoujie.com --yes-I-know-dns-manual-mode-enough-go-ahead-please

# 解析完成后，使用以下命令生成域名证书
acme.sh  --renew   -d www.zuiyoujie.com

2.2.方法2-自动验证 DNS 解析生成证书

• 特点：需要AKSK，可以自动更新证书

# 在 aliyun 创建子账号生成 AKSK，授权 AliyunDNSFullAccess
Ali_Key="AKAK"
Ali_Secret="SKSK"
export Ali_Key="AKAK"
export Ali_Secret="SKSK"

# 申请单个域名证书
acme.sh --issue --dns dns_ali -d www.zuiyoujie.com

# 申请顶级域名证书和通配符域名证书
acme.sh --issue --dns dns_ali -d zuiyoujie.com -d *.zuiyoujie.com

• 会在工作目录生成以第一个域名为名称的目录，里面存放生成的配置文件和证书文件

• AKSK 会被自动记录到 account.conf 文件中，

• 修改 account.conf 文件可以开启日志

• 可以指定多个域名，但是域名不能有重复，例如 www.zuiyoujie.com 和 *.zuiyoujie.com，后者包含前者，但是 zuiyoujie.com 和 *.zuiyoujie.com 没有包含关系

• 其他服务商的变量名称可以到上面的文档或者 dnsapi 目录中的脚本中查看

• 支持的DNS域名服务商：https://github.com/acmesh-official/acme.sh/wiki/dnsapi

• 详细的 api 用法: https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md

• 关于泛域名需要注意的事项

1.泛域名是带通配符的域名，只能代表所有的二级域名
类似 "com" "cn" 是顶级域名
类似 "zuiyoujie.com" 是一级域名，
类似 "www.zuiyoujie.com" 是二级域名
类似 "blog.www.zuiyoujie.com" 是三级域名
类似 "*.zuiyoujie.com" 是一个泛域名，可以涵盖所有二级域名，但是不包含一级域名 "zuiyoujie.com" 和三级域名 "blog.www.zuiyoujie.com"

2.申请一个泛域名证书并不能应用于所有网站
需要同时为泛域名 "*.zuiyoujie.com" 和一级域名 "zuiyoujie.com" 申请证书

3.三级域名需要单独申请域名证书

2.3.http 验证生成证书

• HTTP 服务验证方式对服务器上安装的 web 服务有要求，需要有 web 服务器

2.3.1.自行生成验证文件进行验证

acme.sh  --issue -d www.zuiyoujie.com  --webroot  /home/wwwroot/www.zuiyoujie.com/

• 这种方式要求用户对 http 服务器有操作权限可以上传文件，最简单的是在 http 服务器上部署 acme.sh 脚本
• 该命令需要指定域名，指定域名站点所在网站的根目录，acme.sh 会在网站根目录生成验证文件，完成验证，之后自动清理验证文件

2.3.2.调用服务配置文件进行验证

# 如果 web 服务是 apt 或者 yum 安装的 apache，acme.sh 可以从 apache 的配置中自动完成验证，不需要指定网站根目录
acme.sh --issue  -d www.zuiyoujie.com.com   --apache

# 如果 web 服务是 apt 或者 yum 安装的 nginx 或者反代，acme.sh 可以从 nginx 的配置中自动完成验证，不需要指定网站根目录
acme.sh --issue  -d www.zuiyoujie.com.com  --nginx

# 如果服务器没有运行 web 服务，80 端口是空闲的，那么 acme.sh 还能伪装成一个 webserver, 临时监听 80 端口，完成验证
acme.sh  --issue -d www.zuiyoujie.com.com  --standalone

3.部署证书到指定位置

前面证书生成以后，接下来需要把证书 copy 到真正需要用它的地方
默认生成的证书都放在安装目录下: ~/.acme.sh/, 请不要直接使用此目录下的文件这里面的文件都是内部使用，而且目录结构可能会变化
正确的使用方法是使用 --install-cert 指定目标位置，证书文件会被 copy 过去

• 实例演示

# apache2 示例：普通单域名
acme.sh --install-cert -d www.zuiyoujie.com \
--cert-file      /data/wwwroot/www.zuiyoujie.com/ssl/www.zuiyoujie.com.crt \
--key-file       /data/wwwroot/www.zuiyoujie.com/ssl/www.zuiyoujie.com.key \
--fullchain-file /data/wwwroot/www.zuiyoujie.com/ssl/fullchain.pem \
--reloadcmd     "service apache2 force-reload"

# nginx 示例：通配符域名
acme.sh --install-cert -d zuiyoujie.com \
--fullchain-file  /etc/nginx/conf/ssl/all.zuiyoujie.com.crt \
--key-file       /etc/nginx/conf/ssl/all.zuiyoujie.com.key \
--reloadcmd     "nginx -s reload"

• 1.以上命令不会生成证书，而是在证书目录查找指定域名的目录进行复制，所以需要预先生成证书
• 2.手动部署完成，部署配置会添加到域名证书配置文件中以达到自动部署的效果

4.配置自动更新域名证书

• 证书有效期为90天，可以配置定时任务自动更新域名证书

crontab -e
-----------------------------
27 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
-----------------------------

• 实例演示：

root@zuiyoujie:~/.acme.sh# "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh"
[Tue Aug 25 19:38:43 CST 2020] ===Starting cron===
[Tue Aug 25 19:38:43 CST 2020] Already uptodate!
[Tue Aug 25 19:38:43 CST 2020] Upgrade success!
[Tue Aug 25 19:38:43 CST 2020] Auto upgraded to: 2.8.7
[Tue Aug 25 19:38:43 CST 2020] Renew: 'zuiyoujie.com'
[Tue Aug 25 19:38:43 CST 2020] Skip, Next renewal time is: Sat Oct 24 11:34:27 UTC 2020
[Tue Aug 25 19:38:43 CST 2020] Add '--force' to force to renew.
[Tue Aug 25 19:38:43 CST 2020] Skipped zuiyoujie.com
[Tue Aug 25 19:38:43 CST 2020] ===End cron===

5.其他常用命令

5.1.更新域名证书

# 更新证书，如果证书未到期可能需要加 --force 参数强制签注
acme.sh --renew --dns dns_ali -d www.zuiyoujie.com --force

5.2.查看管理域名证书

# 查看现有证书列表
acme.sh --list

# 删除指定的证书（不会删除证书目录和文件）
acme.sh --remove -d www.zuiyoujie.com

# 或者直接删除证书目录
rm -rf www.zuiyoujie.com

5.3.更新 acme.sh 脚本

# 手动更新脚本
acme.sh --upgrade

# 配置自动更新脚本
acme.sh  --upgrade  --auto-upgrade

# 关闭自动更新脚本
acme.sh --upgrade  --auto-upgrade  0

6.故障处理

• 参考： https://github.com/Neilpang/acme.sh/wiki/How-to-debug-acme.sh

如果出错，请添加 debug log：
acme.sh  --issue  .....  --debug 

或者：
acme.sh  --issue  .....  --debug  2

10.参考地址

• 官方仓库: https://github.com/acmesh-official/acme.sh

• 官方文档-中文: https://github.com/acmesh-official/acme.sh/wiki/说明

• 其他地址: https://www.ioiox.com/archives/87.html