使用acme.sh申请Let's Encrypt 泛域名野卡

Posted by Sunday on 2017-10-17

https://acme.sh/

acme.sh 实现了 acme 协议, 可以从 letsencrypt 生成免费的证书.

1. 安装 acme.sh

安装很简单, 一个命令:

1
2
curl  https://get.acme.sh | sh
source ~/.bashrc

普通用户和 root 用户都可以安装使用. 安装过程进行了以下几步:
把 acme.sh 安装到你的 home 目录下:~/.acme.sh/
并创建 一个 bash 的 alias, 方便你的使用: acme.sh=~/.acme.sh/acme.sh

2). 自动为你创建 cronjob, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书.
更高级的安装选项请参考: https://github.com/Neilpang/acme.sh/wiki/How-to-install
安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中: ~/.acme.sh/

2. 生成泛域名证书

dns 方式的真正强大之处在于可以使用域名解析商提供的 api 自动添加 txt 记录完成验证.
acme.sh 目前支持 cloudflare, dnspod, cloudxns, godaddy 以及 ovh 等数十种解析商的自动集成.
以 dnspod 为例, 你需要先登录到 dnspod 账号, 生成你的 api id 和 api key, 都是免费的.

1
2
3
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
acme.sh --issue --dns dns_dp -d sundayle.com -d *.sundayle.com

1
更详细的 api 用法: https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md

3. copy/安装 证书

前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方.

注意, 默认生成的证书都放在安装目录下: ~/.acme.sh/, 请不要直接使用此目录下的文件, 例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件. 这里面的文件都是内部使用, 而且目录结构可能会变化.

安装到nginx

正确的使用方法是使用 –installcert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:

1
2
3
4
5
mkdir /etc/nginx/ssl
acme.sh --installcert -d sundayle.com \
--key-file /etc/nginx/ssl/sundayle.com.key \
--fullchain-file /etc/nginx/ssl/sundayle.com.cer \
--reloadcmd "service nginx force-reload"

(一个小提醒, 这里用的是 service nginx force-reload, 不是 service nginx reload, 据测试, reload 并不会重新加载证书, 所以用的 force-reload,–reloadcmd用于更新证书后自动重启nginx服务)

–installcert命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效.

查看修改 更新证书计划

这里修改成一个月更新一次(强制性)

1
2
3
crontab -e

00 01 * */1 * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" --force > /dev/null

nginx的配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
# 80端口直接转到443
server {
listen 80;
server_name www.sundayle.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl http2;
server_name www.sundayle.com;
root /www/sundayle.com;
index index.html;

ssl on;
ssl_certificate /etc/nginx/ssl/sundayle.com.cer;
ssl_certificate_key /etc/nginx/ssl/sundayle.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;

ssl_buffer_size 1400;
add_header Strict-Transport-Security max-age=15768000;
ssl_stapling on;
ssl_stapling_verify on;
}

刷新nginx服务

1
service nginx reload

详细参数请参考: https://github.com/Neilpang/acme.sh#3-install-the-issued-cert-to-apachenginx-etc
值得注意的是, 这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用.

4. 更新证书

目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.

5. 更新 acme.sh

目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.

升级 acme.sh 到最新版 :

1
acme.sh --upgrade

如果你不想手动升级, 可以开启自动升级:

1
acme.sh  --upgrade  --auto-upgrade

之后, acme.sh 就会自动保持更新了.

你也可以随时关闭自动更新:

1
acme.sh --upgrade  --auto-upgrade  0

6. 出错怎么办:

如果出错, 请添加 debug log:

1
acme.sh  --issue  .....  --debug

或者:

1
acme.sh  --issue  .....  --debug  2

请参考: https://github.com/Neilpang/acme.sh/wiki/How-to-debug-acme.sh

最后, 本文并非完全的使用说明, 还有很多高级的功能, 更高级的用法请参看其他 wiki 页面.

https://github.com/Neilpang/acme.sh/wiki
https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md
英文高级配置:https://github.com/Neilpang/acme.sh
中文简单配置:https://github.com/Neilpang/acme.sh/wiki/%E8%AF%B4%E6%98%8E