国内产品网站w源码1688,网站设计要点,自学做网站要多久,ueeshop和wordpress大家好#xff0c;我叫徐锦桐#xff0c;个人博客地址为www.xujintong.com。平时记录一下学习计算机过程中获取的知识#xff0c;还有日常折腾的经验#xff0c;欢迎大家访问。 介绍
acme.sh 是个开源的shell证书生成脚本#xff0c;他可以自动生成Let’s Encrypt 的证书… 大家好我叫徐锦桐个人博客地址为www.xujintong.com。平时记录一下学习计算机过程中获取的知识还有日常折腾的经验欢迎大家访问。 介绍
acme.sh 是个开源的shell证书生成脚本他可以自动生成Let’s Encrypt 的证书也可以通过API生成其他的证书。 这里我们用的ZeroSSL签发的证书。有人问为啥不用Let’s Encrypt的证书呢因为有人说Let’s Encrypt的服务器被墙导致使用Let’s Encrypt证书的网页加载缓慢。 在acme.sh的文档中提到acme.sh默认server使用Let’s Encrypt将在2021/08/01发布v3版本。
安装acme.sh
这里的环境是Linux环境
curl https://get.acme.sh | sh安装完了如果输入acme.sh --version会显示找不到命令。我们还需要创建一个alias。
alias acme.sh~/.acme.sh/acme.sh将acme.sh server更改为ZeroSSL
可能当前版本的acme默认也是ZeroSSL但是还是设置一下吧。
acme.sh --set-default-ca --server zerossl配置DNS API
SSL证书验证可通过DNS验证、文件验证等多种方式为了方便多个域名申请以及后续证书更新推荐使用DNS API方式不过在使用前需要先进行设置。
获取 cloudflare API key
点击这个网站https://dash.cloudflare.com/profile/api-tokens 进入cloudfare的user api地址。然后复制Global API Key。 就是验证一下域名使用权这里我的域名托管到cloudfare这里就用cloudfare的API了如果你的域名托管到其他地方请自行百度获取API的方式。
设置 cloudflare API key
终端输入
export CF_Keycloudflare 中查看你的 Global API Key
export CF_Email你的 cloudflare 邮箱ZeroSSL使用说明
需要在ZeroSSL的官网注册一个账户一会需要将acme.sh和自己的账户进行关联。 别看网站上面签发泛域名证书要花钱如果您通过ZeroSSL官网在线申请SSL证书,免费账户是有3个域的额度限制的但通过acme.sh申请则没有这个限制所以建议使用acme.sh进行申请简单方便。
acme.sh申请ZeroSSL泛域名SSL证书
关联ZeroSSL
将myemailexample.com替换成当时注册ZeroSSL的邮箱。
acme.sh --register-account -m myemailexample.com --server zerossl申请ZeroSSL泛域名SSL证书
acme.sh --dns dns_huaweicloud --issue -d domain.com -d *.domain.com复制证书
这里不要使用上面申请完的那个证书路径需要拷贝到别处去。
acme.sh --installcert -d damain.com \--key-file /home/ssl/key.pem \--fullchain-file /home/ssl/cert.pem这里吧damain.com换成你自己的域名两个路径也可以自己选生成的证书就会导入到这两个文件里面。
部署证书
这里我用的宝塔面板(宝塔将对应网站ngigx配置文件放在/www/server/panel/vhost/nginx) 在网站要部署证书的网站设置配置文件中加入下面的代码保证443端口已经打开然后将SSL证书和私钥文件的路径替换为自己的。
# SSL证书申请的地址
listen 443 ssl;
# SSL证书和私钥文件的路径
ssl_certificate /home/ssl/cert.pem;
ssl_certificate_key /home/ssl/key.pem;
# ssl基础配置
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;如果不用宝塔面板的话也是修改对应网站的nginx配置文件就行。
最后重启Nginx。
nginx -s reload最后
ZeroSSL几乎继承了Let’s Encrypt所有特性而且还支持WEB管理证书使用acme.sh申请ZeroSSL也非常简单用来替代Let’s Encrypt完全没有问题。
acme.sh项目地址ZeroSSL官网参考博客1参考博客2
