前言通过https协议访问网站时,起聊SSL证书确保了数据传输的聊何安全性。目前,使用申请书大多数云服务提供商提供的起聊免费证书有效期只有90天,想要更长时间的聊何证书则需要付费。这意味着每隔90天就需要重新签发并替换证书文件。使用申请书 折腾一番后,起聊我找到了一个免费且优雅的聊何方案,只需要在服务器上安装相关脚本,使用申请书就能申请到免费的起聊域名证书,它会定期检查证书的聊何有效期,实现到期自动续期与更新,使用申请书从而有效地获得了一个“永久”的起聊证书。 本文就跟大家详细分享下这个方案,聊何欢迎各位感兴趣的使用申请书开发者阅读本文。 环境搭建我们需要用到ACME[1]这个程序来完成证书的申请与签发。 程序安装首先,我们需要通过SSH连接到服务器,通过以下命令来安装: 复制curl https://get.acme.sh | sh1. 安装程序会自动做以下操作: • 自动把acme.sh安装到你的 home 的.acme.sh目录下,即~/.acme.sh/ • 自动创建一个 bash的别名,方便命令行的直接使用: alias acme.sh=~/.acme.sh/acme.sh • 自动为你创建 cron任务,源码下载 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新,则会自动更新证书。 更改默认证书因为acme已经被ZeroSSL收购,其默认的证书方式为ZeroSSL,但此证书生成时会携带邮箱,因此需要更换为letsencrypt[2] 复制acme.sh --set-default-ca --server letsencrypt1. 申请泛域名证书泛域名证书是一种能够为同一个主域名(例如kaisir.cn)下的所有子域名(如www.kaisir.com、resource.kaisir.cn等)提供安全加密的数字证书。能够通过一个单一的证书来保护主域名及其所有子域名的数据传输,使得网站管理者无需为每个子域名分别购买和管理多个SSL证书。[3] 通过acme申请的证书,可以绑定满足该通配符型规则的任意三级子域名,例如: 复制www.kaisir.cn test.kaisir.cn aaa.kaisir.cn bb.kaisir.cn ...1.2.3.4.5. 如果你对数字证书比较感兴趣,可以移步我的另一篇文章:数字证书的理解[4] 获取 DNS API 参数acme提供的泛域名证书只能通过dns的形式来做验证,因此我们需要进入域名解析控制台(你可以在此处[5]找到你的域名解析提供商)创建API ID 和 API Key。 我这里以阿里云为例,登录成功后,去到阿里云的服务器租用RAM访问控制面板[6]来创建用户。  图片
• 创建完用户之后,点击添加权限按钮  图片
• 勾选第一页的所有权限  图片
• 复制AccessKey ID和AccessKey Secret下来,保存好。  图片
配置环境变量由于每个平台的环境变量名称是不一样的,因此你需要去acme-dnsapi网站[7]里找到你平台的变量名。我这里以阿里云为例,将key和secret换成上一步创建的即可。 复制export Ali_Key="key" export Ali_Secret="secret"1.2. 生成证书做完上述操作后,我们的准备工作就做完了,可以使用acme.sh脚本来创建证书了。 复制acme.sh --issue --dns dns_ali -d kaisir.cn -d *.kaisir.cn --dnssleep 300 --debug1. • --dns 用于指定dns校验平台,我这里是阿里云 • 第一个-d是你的网站主域名,第二个是泛域名 • --dnssleep用于等待操作,因为把txt添加到后台,解析不一定能做到立刻生效,所以需要延时一下,此处我设置了300秒的延时,执行命令的过程会有个等待倒计时。 • --debug开启调试模式,站群服务器创建过程中会打印详细的日志出来,方便定位错误。 创建成功后,你将看到如下所示的内容:  图片
安装证书最后,我们只需要找到创建好的证书,将其在服务器上的路径填写到nginx中即可。脚本会在证书快到期时,自动续期并创建相关文件。 本章节将以我的服务器为例,跟大家分享下如何去做相关的配置。 配置路径映射如果你的服务是直接运行在宿主机上的,请跳过这一步。 我的服务是运行在docker容器里的,因此需要先把服务器的证书路径映射进容器中,此处我以docker-compose为例,在volumes节点下添加映射即可。 复制nginx-server: image: nginx:1.18.0 container_name: local_nginx volumes: - /root/.acme.sh/kaisir.cn_ecc:/usr/share/acme1.2.3.4.5. 注意:如果你只使用了docker,则需要在运行docker run指令时,通过添加-v参数来添加路径映射,例如docker run -v /root/.acme.sh/kaisir.cn_ecc:/usr/share/acme。 • /root/.acme.sh/kaisir.cn_ecc 是宿主机上的路径 • /usr/share/acme是容器内部的路径 如果你对docker不是很了解,可以移步我的另一篇文章:使用docker来编排Web应用[8] 配置nginx随后,我们就可以打开nginx的配置文件,指定ssl证书的位置即可。 • /usr/share/acme/就是我们上一步所映射出来的路径 • fullchain.cer就是我们申请到的泛域名证书 复制server { # 配置ssl证书 ssl_certificate /usr/share/acme/fullchain.cer; ssl_certificate_key /usr/share/acme/kaisir.cn.key; }1.2.3.4.5. 实现效果最后,我们重启nginx,通过浏览器访问网站就能看到证书信息了🤗  图片
• 访问子域名的服务也是正常的  图片
• 证书详情如下所示  图片
引用链接[1] ACME: https://letsencrypt.org/zh-cn/docs/client-options/ [2] letsencrypt: https://letsencrypt.org/ [3] www.kaisir.com、resource.kaisir.cn等)提供安全加密的数字证书。能够通过一个单一的证书来保护主域名及其所有子域名的数据传输,使得网站管理者无需为每个子域名分别购买和管理多个SSL证书。: http://www.kaisir.com、resource.kaisir.cn等)提供安全加密的数字证书。能够通过一个单一的证书来保护主域名及其所有子域名的数据传输,使得网站管理者无需为每个子域名分别购买和管理多个SSL证书。 [4] 数字证书的理解: https://www.kaisir.cn/post/58 [5] 此处: https://github.com/acmesh-official/acme.sh/wiki/dnsapi [6] RAM访问控制面板: https://ram.console.aliyun.com/users [7] acme-dnsapi网站: https://github.com/acmesh-official/acme.sh/wiki/dnsapi [8] 使用docker来编排Web应用: https://www.kaisir.cn/post/175 [9] 个人网站: https://www.kaisir.cn/ | 
喜欢
讨厌