Linux 下基于 acme.sh 脚本实现域名证书的自动签注与续签部署

acme.sh_install_ubuntu_自动申请域名ssl证书

  • Linux 下基于 acme.sh 脚本实现域名证书的自动签注与续签部署

0.前言

  • 目前的网站如果不使用 https 进行加密的网站大多会被浏览器标注个大大的“不安全”,看着 low,实际上也不安全
  • 本文旨在解决上面这个问题,为你提供一个舒爽的上网站点
  • 基于 acme.sh 脚本工具实现域名证书的自动申请,签发,部署,自动续签并部署证书

1.安装 acme.sh

1.1.方法1-在线安装-使用脚本一键安装

curl  https://get.acme.sh | sh
# or
wget -O -  https://get.acme.sh | sh

1.2.方法2-离线安装-下载软件离线安装

git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install

## 安装时可以选择自定义部分参数
git clone https://github.com/acmesh-official/acme.sh.git
cd acme.sh
./acme.sh --install -m my@example.com \
--home ~/myacme \
--config-home ~/myacme/data \
--cert-home  ~/mycerts \
--accountemail  "my@example.com" \
--accountkey  ~/myaccount.key \
--accountconf ~/myaccount.conf \
--useragent  "this is my client."
  • 安装参数说明
--home is a customized dir to install acme.sh in. By default, it installs into ~/.acme.sh
--config-home is a writable folder, acme.sh will write all the files(including cert/keys, configs) there. By default, it's in --home
--cert-home is a customized dir to save the certs you issue. By default, it's saved in --config-home.
--accountemail is the email used to register account to Let's Encrypt, you will receive renewal notice email here. Default is empty.
--accountkey is the file saving your account private key. By default it's saved in --config-home.
--useragent is the user-agent header value used to send to Let's Encrypt.
----------------------
  • 安装完成,需要重新登陆控制台以便脚本命令生效

1.3.优化配置

## 配置快捷方式,命令别名
ll ~/.acme.sh/
alias acme.sh=~/.acme.sh/acme.sh

2.生成域名证书

  • 验证域名的所有权

2.1.方法1-手动验证 DNS 解析生成证书

  • 特点:不需要AKSK,不需要有 web 服务器和公网 IP,需要手动更新证书
# 执行以下命令,将返回的 txt 解析记录配置到对应的域名解析中
acme.sh  --issue  --dns  -d www.zuiyoujie.com --yes-I-know-dns-manual-mode-enough-go-ahead-please

# 解析完成后,使用以下命令生成域名证书
acme.sh  --renew   -d www.zuiyoujie.com

2.2.方法2-自动验证 DNS 解析生成证书

  • 特点:需要AKSK,可以自动更新证书
# 在 aliyun 创建子账号生成 AKSK,授权 AliyunDNSFullAccess
Ali_Key="AKAK"
Ali_Secret="SKSK"
export Ali_Key="AKAK"
export Ali_Secret="SKSK"

# 申请单个域名证书
acme.sh --issue --dns dns_ali -d www.zuiyoujie.com

# 申请顶级域名证书和通配符域名证书
acme.sh --issue --dns dns_ali -d zuiyoujie.com -d *.zuiyoujie.com
  • 会在工作目录生成以第一个域名为名称的目录,里面存放生成的配置文件和证书文件

  • AKSK 会被自动记录到 account.conf 文件中,

  • 修改 account.conf 文件可以开启日志

  • 可以指定多个域名,但是域名不能有重复,例如 www.zuiyoujie.com 和 *.zuiyoujie.com,后者包含前者,但是 zuiyoujie.com 和 *.zuiyoujie.com 没有包含关系

  • 其他服务商的变量名称可以到上面的文档或者 dnsapi 目录中的脚本中查看

  • 支持的DNS域名服务商:https://github.com/acmesh-official/acme.sh/wiki/dnsapi

  • 详细的 api 用法: https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md

  • 关于泛域名需要注意的事项

1.泛域名是带通配符的域名,只能代表所有的二级域名
类似 "com" "cn" 是顶级域名
类似 "zuiyoujie.com" 是一级域名,
类似 "www.zuiyoujie.com" 是二级域名
类似 "blog.www.zuiyoujie.com" 是三级域名
类似 "*.zuiyoujie.com" 是一个泛域名,可以涵盖所有二级域名,但是不包含一级域名 "zuiyoujie.com" 和三级域名 "blog.www.zuiyoujie.com"

2.申请一个泛域名证书并不能应用于所有网站
需要同时为泛域名 "*.zuiyoujie.com" 和一级域名 "zuiyoujie.com" 申请证书

3.三级域名需要单独申请域名证书

2.3.http 验证生成证书

  • HTTP 服务验证方式对服务器上安装的 web 服务有要求,需要有 web 服务器

2.3.1.自行生成验证文件进行验证

acme.sh  --issue -d www.zuiyoujie.com  --webroot  /home/wwwroot/www.zuiyoujie.com/
  • 这种方式要求用户对 http 服务器有操作权限可以上传文件,最简单的是在 http 服务器上部署 acme.sh 脚本
  • 该命令需要指定域名,指定域名站点所在网站的根目录,acme.sh 会在网站根目录生成验证文件,完成验证,之后自动清理验证文件

2.3.2.调用服务配置文件进行验证

# 如果 web 服务是 apt 或者 yum 安装的 apache,acme.sh 可以从 apache 的配置中自动完成验证,不需要指定网站根目录
acme.sh --issue  -d www.zuiyoujie.com.com   --apache

# 如果 web 服务是 apt 或者 yum 安装的 nginx 或者反代,acme.sh 可以从 nginx 的配置中自动完成验证,不需要指定网站根目录
acme.sh --issue  -d www.zuiyoujie.com.com  --nginx

# 如果服务器没有运行 web 服务,80 端口是空闲的,那么 acme.sh 还能伪装成一个 webserver, 临时监听 80 端口,完成验证
acme.sh  --issue -d www.zuiyoujie.com.com  --standalone

3.部署证书到指定位置

前面证书生成以后,接下来需要把证书 copy 到真正需要用它的地方
默认生成的证书都放在安装目录下: ~/.acme.sh/, 请不要直接使用此目录下的文件这里面的文件都是内部使用,而且目录结构可能会变化
正确的使用方法是使用 --install-cert 指定目标位置,证书文件会被 copy 过去

  • 实例演示
# apache2 示例:普通单域名
acme.sh --install-cert -d www.zuiyoujie.com \
--cert-file      /data/wwwroot/www.zuiyoujie.com/ssl/www.zuiyoujie.com.crt \
--key-file       /data/wwwroot/www.zuiyoujie.com/ssl/www.zuiyoujie.com.key \
--fullchain-file /data/wwwroot/www.zuiyoujie.com/ssl/fullchain.pem \
--reloadcmd     "service apache2 force-reload"

# nginx 示例:通配符域名
acme.sh --install-cert -d zuiyoujie.com \
--fullchain-file  /etc/nginx/conf/ssl/all.zuiyoujie.com.crt \
--key-file       /etc/nginx/conf/ssl/all.zuiyoujie.com.key \
--reloadcmd     "nginx -s reload"
  • 1.以上命令不会生成证书,而是在证书目录查找指定域名的目录进行复制,所以需要预先生成证书
  • 2.手动部署完成,部署配置会添加到域名证书配置文件中以达到自动部署的效果

4.配置自动更新域名证书

  • 证书有效期为90天,可以配置定时任务自动更新域名证书
crontab -e
-----------------------------
27 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
-----------------------------
  • 实例演示:
root@zuiyoujie:~/.acme.sh# "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh"
[Tue Aug 25 19:38:43 CST 2020] ===Starting cron===
[Tue Aug 25 19:38:43 CST 2020] Already uptodate!
[Tue Aug 25 19:38:43 CST 2020] Upgrade success!
[Tue Aug 25 19:38:43 CST 2020] Auto upgraded to: 2.8.7
[Tue Aug 25 19:38:43 CST 2020] Renew: 'zuiyoujie.com'
[Tue Aug 25 19:38:43 CST 2020] Skip, Next renewal time is: Sat Oct 24 11:34:27 UTC 2020
[Tue Aug 25 19:38:43 CST 2020] Add '--force' to force to renew.
[Tue Aug 25 19:38:43 CST 2020] Skipped zuiyoujie.com
[Tue Aug 25 19:38:43 CST 2020] ===End cron===

5.其他常用命令

5.1.更新域名证书

# 更新证书,如果证书未到期可能需要加 --force 参数强制签注
acme.sh --renew --dns dns_ali -d www.zuiyoujie.com --force

5.2.查看管理域名证书

# 查看现有证书列表
acme.sh --list

# 删除指定的证书(不会删除证书目录和文件)
acme.sh --remove -d www.zuiyoujie.com

# 或者直接删除证书目录
rm -rf www.zuiyoujie.com

5.3.更新 acme.sh 脚本

# 手动更新脚本
acme.sh --upgrade

# 配置自动更新脚本
acme.sh  --upgrade  --auto-upgrade

# 关闭自动更新脚本
acme.sh --upgrade  --auto-upgrade  0

6.故障处理

如果出错,请添加 debug log:
acme.sh  --issue  .....  --debug 

或者:
acme.sh  --issue  .....  --debug  2

10.参考地址

posted @ 2020-08-26 11:41  天生帅才  阅读(4692)  评论(0编辑  收藏  举报
// 百度统计