使用acme.sh配置SSL证书并自动续签

最新推荐文章于 2024-06-21 21:15:43 发布
最新推荐文章于 2024-06-21 21:15:43 发布
阅读量1.7k 收藏 17
点赞数 21
分类专栏: Linux 文章标签: ssl 网络 nginx 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leslie_Dz/article/details/136152937
版权
本文介绍了如何在Ubuntu22.04系统中使用acme.sh生成免费SSL证书,包括安装、设置DNS自动模式、获取阿里云API密钥、自动续签及Nginx部署步骤。
摘要由CSDN通过智能技术生成

使用acme.sh配置SSL证书并自动续签

参考官网

Home · acmesh-official/acme.sh Wiki (github.com)

acme.sh用于生成免费的ssl证书,其完整实现了acme协议,并且由纯Shell脚本语言编写,没有过多的依赖项,安装和使用都非常方便。

支持多个ssl签发平台,如Let’s Encrypt (letsencrypt.org)Free SSL Certificates and SSL Tools - ZeroSSL

本文使用Let’s Encrypt

准备环境:

  • 域名
  • Linux版本Ubuntu22.04
  • 代理服务器Nginx1.18.0
  • acem.sh

下载安装acme.sh

curl https://get.acme.sh | sh -s email=my@example.com

使用这个安装干了些啥

  • 部署acme.sh程序到用户文件夹

  • 为脚本创建新名称 acme.sh=~/.acme.sh/acme.sh

    需重启终端,不想重启的话 .acme.sh# alias acme.sh=~/.acme.sh/acme.sh

  • 创建一个每日定时任务,用于自动更新即将过期的证书

    通过crontab -l 查看:

    18 18 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

安装后目录

account.conf  acme.sh  acme.sh.env  deploy  dnsapi  http.header  notify

具体命令可查看官网

使用acme.sh配置ssl证书

直接指向项目

acme.sh --issue -d example.com -d test.com -w /var/www/project

-d参数指定域名,多个域名使用多个-d参数,第一个-d参数指定的域名即证书的主体名称,其它-d参数指定的域名为证书的可选主体名称。

-w参数指定的是域名的webroot目录,以example.com为例,-w参数的值即是http://example.com对应的webroot目录。如果使用多个-d参数同时指定了多个域名,则所有这些域名必须对应同一个webroot目录;另外,当前系统用户必须具有webroot目录的写入权限。

DNS自动模式(建议)

此方法会向域名解析平台添加一个TXT记录值,需要提供对应平台的Key和Secret,具体参考acme.sh/dnsapi/dns_ali.sh at master · acmesh-official/acme.sh (github.com) 我使用的是dns_ali。

#切换默认平台为letsencrypt 其他更换最后平台即可
acme.sh --set-default-ca --server letsencrypt

默认的签发平台是ZeroSSL,我使用的时候想着就用默认的平台,可是一直报错 et authz objec with invalid status, please try again later. github上有人说是ZeroSSL的dns身份认证出问题了。This domain won’t issue · Issue #4991 · acmesh-official/acme.sh (github.com) 所以我换成了用letsencrypt

获取阿里云的Key和Secret,添加到系统环境变量

export Ali_Key="*******************"
export Ali_Secret="*********************"

生成证书

acme.sh --issue --dns dns_ali -d example.com -d www.example.com

该命令从系统变量中读取aliyun的api授权ID和密码,并通过dns_ali参数指定DNS提供商为阿里云。该命令将通过api自动为指定域名添加txt记录,并在验证完毕后自动移除txt记录。

aliyun的api授权ID和密码将被保存在.acme.sh的账户配置文件中,以供将来自动更新证书时使用,存储位置为:

~/.acme.sh/account.conf

通过 --install-cert部署证书

acme.sh --install-cert -d *.example.com \
--key-file       /etc/nginx/ssl/in/example.com.key  \
--fullchain-file /etc/nginx/ssl/fullchain.cer \
--reloadcmd     "nginx -s reload"

使用 acme.sh --list查看证书列表

Main_Domain   KeyLength  SAN_Domains  CA               Created               Renew
*.ihuadz.top  "ec-256"   ihuadz.top   LetsEncrypt.org  2024-02-18T04:06:07Z  2024-04-17T04:06:07Z

Nginx 部署

在项目对应的Nginx配置文件中添加

server {
    listen 443 ssl;
    server_name blog.ihuadz.top;
    root /var/www/hexo;
 
    ssl_certificate "/etc/nginx/ssl/ihuadz.top/fullchain.cer";
    ssl_certificate_key "/etc/nginx/ssl/ihuadz.top/*.ihuadz.top.key";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
}

访问https://blog.ihuadz.top ok。没问题

不同的项目配置不同的域名和路径即可,使用泛域名的话就不用重新申请证书

珩宇Coding
关注
  • 21
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一键自动化脚本使用acme.sh部署RSA、ECC双证书,实现自动续期+钉钉告警
代码讲故事
12-21 825
一键自动化脚本使用acme.sh部署RSA、ECC双证书,实现自动续期+钉钉告警。 ECC证书 相比 RSA证书, 密钥短了很少,但安全性还是有保证,ECC 是Elliptic curve cryptography的简写, 是一种建立公开密钥加密的算法,基于椭圆曲线。由于其密钥较短,运算速度较快,所以渐渐开始在一些网站上使用。但是由于有些老旧 浏览器/系统 不支持ECC证书,为了使他们能够访问,我们还得提供一份 RSA证书
ACME生成免费证书,默认自动续期
Charles的专栏
03-20 774
除了使用dns的方式外,还可以使用http的方式来生成证书(如果不想通过网站根目录来验证,那么需要单独添加一个location来保证acme可以访问到生成的文件)由于acme被ZeroSSL收购,所以默认的证书服务商是ZeroSSL,但是此证书生成时会携带邮箱,因此更换为letsencrypt。申请好的账号信息(AliyunDNSFullAccess权限),填写在acme的account.conf文件中。acme默认生成的是ECC证书,如果需要生成RSA的证书,需要在原有的命令后面添加。
acme自动化---免费SSL证书申请并自动续期
sywdebug的博客
07-19 1万+
上面是重新写的,以下是之前写的,记录了一个问题没有删除,之前写的使用了freeSSL,但是使用acme.sh其实是不需要使用其他的配合,之前也是先接触到freeSSL,所以按照freeSSL教程做的,实际上使用其他的还可能会产生其他不太好的问题,之前有记录,但是这次重写删掉了。上去之后看一眼,cer 是证书文件,key 是私钥文件,都没有更新,变得是 csr 文件,这个文件是申请前创建的,与这个无关,但是可以看出是有自动续期,但是没有续期成功。
ssl证书90天过期?保姆级教程——使用acme.sh实现证书自动续期
最新发布
qq_44624290的博客
06-21 361
最近https到期了,想着手动更新一下https证书,结果发现证书现在的有效期只有90天,于是想找到一个自动更新证书的工具,发现了acme.sh,但是网上的文章质量参差不齐,可能需要多篇文章结合来操作,一步步试错。我这里结合了腾讯云的相关文档和一些其他的博文,保证一次性操作成功。
使用ACME申请https证书证书自动续期)
asdcctv882的博客
05-07 1408
使用acme申请https证书(附自动更新)
超级简单acme证书申请,不用dns配置自动续期,个人网站首选
liu289747235的专栏
07-31 4179
执行下面的命令会生成证书文件相关的key和pem,改为你自己的路径和文件名。(1)将域名的解析指向服务器,并且服务器开启80端口的http服务。4 证书申请完成后,就可以配置https 443 服务了。这条命令acme将会自动检查更新证书是否过期,自动续期。方式二:通过自定webroot,((2)准备acme需要目录。方式一:通过指定dns。
使用acme,自动续签免费的SSL,无忧http升级https
fendouweiqian的博客
08-28 1287
使用acme自动为网址续签https
使用acme.sh进行ssl申请和自动续约
晨峰说
02-10 2241
本文以demo.example.com为例,详细介绍了使用acme.sh进行ssl申请和自动续约的方法 安装 只需要用任意用户执行 curl https://get.acme.sh | sh acme.sh 会安装到 ~/.acme.sh/目录下,并创建新的自动计划(cronjob)在凌晨0点检查所有证书 生成证书的方式主要有三种 网站文件方式,适合于已经部署好apache或是nginx服务...
qnap-acme.sh
09-18
威联通QNAP自动续签更新SSL证书脚本(配合acme.sh使用),支持Let's Encrypt免费证书,支持域名泛解析证书,如:*.xx.com。
威联通qnap使用acme自动更新证书 qnap-acme.sh
01-29
配合neilepang/acme.sh容器,QTS 5.x可用脚本
ansible-acme-sh使用acme.sh使用“让我们加密”安装并自动更新SSL证书
01-31
在这个场景中,我们关注的是如何使用 Ansible 和 acme.sh 来安装和自动更新 Let's Encrypt 的 SSL 证书。Let's Encrypt 是一个免费、自动化且开放的证书颁发机构,它提供了一个简单的方法来为网站获取和续签安全的 ...
2023年!使用acme为群晖NAS自动部署证书
01-30
其支持HTTP验证和 DNS 两种域名验证方式,并且可同时申请多张单域名,泛域名证书,并自动续签证书和部署到项目。如此强大的工具怎能不试试。 https://blog.csdn.net/qq_25924971/article/details/128809638
acme.sh:实现ACME客户端协议的纯Unix Shell脚本
01-30
**acme.sh** 是一个基于 Unix Shell 脚本实现的 ACME 客户端工具,主要用于自动化获取和管理 Let's Encrypt 以及其他支持 ACME 协议的证书颁发机构(如 ZeroSSL、Buypass)的SSL/TLS证书ACME(Automatic ...
使用acme白嫖泛域名证书自动续约
weixin_55652418的博客
01-02 1471
acme.sh 实现了 acme 协议, 可以从 letsencrypt 生成免费的证书.主要步骤:more下面详细介绍.
acme.sh给网站域名,申请免费SSL永久证书自动续期)
热门推荐
09-09 1万+
申请ssl证书,即https有很多,有免费的,也有收费的。如第三方域名管理cloudflare也可以自动添加使用https,而且永久。但是由于有些服务,需要在服务器使用自签证书,所以需要自己申请。免费的可以使用certbot,也可以是使用zeroSSL。Certbot申请免费SSL证书这里,介绍使用acme.sh生成免费的ssl证书,其完整实现了acme协议,并且由纯Shell脚本语言编写,没有过多的依赖项,安装和使用都非常方便。
使用 acme.sh 自动续期 DV 证书
juanhuge的专栏
12-13 749
当前的互联网环境下,为我们的站点部署一个 ssl 证书,通常有以下几点原因:在一定程度上保证数据传输的安全(注意,并不能保证用户信息不被泄露);现在主流浏览器对于没有部署证书的域名会显示一个“不安全”的标识,即便你网站做的再尽善尽美,没有证书照样给你打上这个 title,非常的扎眼;再有就是当我们的站点需要对接一些开放平台的接口时,绝大部分平台都要求接入方的地址是 https 站点。在以前,我们申请证书的操作通常都是手动完成,通常的步骤是先去证书颁发机构的代理站点申请证书,需要提供域名信息根据代理机构提供的
玩转代码|使用acme.sh在Ubuntu配置Let’s Encrypt免费通配符SSL证书
Jum的博客
02-17 791
acme.sh 是一款方便,强大的 Let's Encrypt 域名证书申请续签程序.支持一键脚本和 docker 部署.支持 http 和 DNS 两种域名验证方式,其中包括手动,自动 DNS 及 DNS alias 模式方便各种环境和需求.可同时申请合并多张单域名,泛域名证书,并自动续签证书和部署到项目。安装生成的证书到这个目录保存,用于在Apache2中引用,在终端输入以下命令(注意这是单条命令,只不过转行了)将证书保存到/etc/apache2/certs。配置default-ssl.conf为。
acme自动续订freessl免费证书
passerbyYSQ
04-19 504
去域名的云服务提供商,按照第一张图来配置DNS解析。
acme实用技巧:稳妥的自动更新证书之宝塔面板
u010066597的博客
04-16 2152
把改成自己的邮箱安装成功后,会为你自动创建定时任务, 如果快过期了, 需要更新, 则会自动更新证书。默认情况下,证书将每60天更新一次。
acme.sh qnap
06-21
### 回答1: Acme.sh是一个开源的脚本工具,可以帮助用户实现自动化的证书管理,包括SSL/TLS证书的获取、更新和部署,支持Let's Encrypt等公共CA中心。QNAP则是一款NAS网络存储设备,具有数据备份、远程访问等功能,同时也支持安装插件扩展其功能。Acme.sh和QNAP的结合,可以为QNAP设备提供快速、便捷的证书管理工具,保障其数据传输安全和隐私保护。安装Acme.sh后,用户只需要一条简单的命令,就可以自动获取证书并进行更新和部署,同时通过QNAP自带的Web服务器或Web Station功能,可以实现HTTPS协议下的安全访问和数据传输,提升数据安全级别。此外,Acme.sh还提供了多种验证方式,比如DNS、HTTP、TLS、TLS-ALPN等,可以应对不同证书申请场景,提高证书获取的成功率。总之,Acme.sh和QNAP的结合,在保证数据安全的同时,也为用户提供了更多的便利和灵活度,是QNAP用户的不错选择。 ### 回答2: Acme.sh是一个在Linux系统中自动化申请和更新Let's Encrypt SSL证书的工具,它可以简化证书的管理过程,让SSL证书的部署更加简单和快捷。而QNAP则是一个网络存储设备的品牌,其设备多用于小型企业和家庭用户存储数据、共享数据等。 在Acme.sh和QNAP的结合下,用户可以在QNAP设备上自动化申请Let's Encrypt SSL证书,以保障QNAP设备上的数据传输安全。此外,使用Acme.sh与QNAP结合还可以方便地管理SSL证书的更新和扩展,减少了用户可能遇到的与证书管理相关的问题。 总的来说,Acme.sh与QNAP的结合为用户提供了一种更加简单、安全、可靠的SSL证书管理解决方案,这对于需要在QNAP设备上存储敏感数据的用户来说是非常有价值的。 ### 回答3: Acme.sh是一款高效、易用的SSL证书自动化管理工具,而QNAP则是一家以网络存储为主的制造商。acme.sh qnap可以理解为在QNAP设备上安装并配置acme.sh以便自动化管理SSL证书。 在QNAP设备上使用acme.sh,可以实现自动化地获取和更新SSL证书,使得网站的安全性得到保证。使用acme.sh的好处是它的支持范围非常广,可以与各种不同类型的Web服务器、CDN和DNS服务集成,方便快捷。 而且,acme.sh非常灵活,你可以在控制台中直接运行它,也可以使用脚本进行扩展。如果你是一名开发人员或系统管理员,那么acme.sh一定会帮助你更快更高效地管理SSL证书。 总之,acme.sh qnap是一种非常实用的工具,可以使得SSL证书管理更加简单方便,同时也能提高网站的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值