用ACME自动续签证书实践

最新推荐文章于 2024-04-27 02:00:04 发布
最新推荐文章于 2024-04-27 02:00:04 发布
阅读量7.4k 收藏 4
点赞数 4
分类专栏: Linux Docker 文章标签: docker nginx php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bennybi/article/details/108644441
版权

目录

官网:https://github.com/acmesh-official/acme.sh#7-automatic-dns-api-integration

1. 普通方式

1.1 申请证书

1.2 部署证书

2 Docker LEMP 方式

-- 定义docker-compose.yml节

-- 站点虚拟机conf

-- 命令行

-- 设置cron每月自动重启nginx

- 参考

官网:
https://github.com/acmesh-official/acme.sh#7-automatic-dns-api-integration

环境: LEMP

说明: 让域名证书自动续签, 普通方式与Docker方式

1. 普通方式

安装:

sudo wget -O -  https://get.acme.sh | sh

用crontab -l 可以看到已自动添加了一个cronjob来定时检查过期情况

1.1 申请证书

法一:Http文件认证方式

- 做好域名指向,设置好 www.xxx.com.conf 里面的路径

server {
        listen       80;
        listen       443 ssl;
        listen       [::]:80;
        server_name  www.xxx.com;
        
        set $host_path "/data0/Projects/PP/www.xxx.com";

        access_log   /data0/Server/Logs/www.xxx.com.log main;
        error_log    /data0/Server/Logs/www.xxx.com.error.log;
        
        charset utf-8;
        
        root   $host_path;
        index  index.php index.html index.htm;
        
        # letsencrypt file verify
        location /.well-known/acme-challenge/ {
            #alias       /usr/share/nginx/html/;
            alias       /data0/Projects/PP/www.xxx.com/.well-known/acme-challenge/;
            try_files   $uri =404;
        }
        
        location ~ \.php$ {
            try_files $uri =404;
            #fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;
            fastcgi_pass 127.0.0.1:9000;
            fastcgi_index index.php;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            include fastcgi_params;
        }
     
        #include agent_deny.def;
}

- 申请

acme.sh --issue --server letsencrypt -d {domain} -w {website path}

法二: DNS自认证方式:

- 申请 (namecheap 域名服务商)

  export NAMECHEAP_USERNAME="name"
  export NAMECHEAP_API_KEY="key"
  export NAMECHEAP_SOURCEIP="white list ip"
  
  acme.sh --issue --dns dns_namecheap -d www.xxx.com

1.2 部署证书

acme.sh --install-cert -d {domain} \
  --key-file       /data0/Server/Auths/certs/{domain}/the.key  \
  --fullchain-file /data0/Server/Auths/certs/{domain}/fullchain.crt 

chmod 644 -Rf /data0/Server/Auths/certs/{domain}/*

- 修改 www.xxx.com.conf

server {
        listen       80;
        listen       443 ssl;
        listen       [::]:80;
        server_name  www.xxx.com;

        ssl_certificate /data0/Server/Auths/certs/{domain}/fullchain.crt;
        ssl_certificate_key /data0/Server/Auths/certs/{domain}/the.key;
        
        set $host_path "/data0/Projects/BD/xxx";

        access_log   /data0/Server/Logs/xxx.log main;
        error_log    /data0/Server/Logs/xxx.error.log;
        
        charset utf-8;
        
        root   $host_path;
        index  index.php index.html index.htm;
        
        location ~ \.php$ {
            try_files $uri =404;
            #fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;
            fastcgi_pass 127.0.0.1:9000;
            fastcgi_index index.php;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            include fastcgi_params;
        }
     
        #include agent_deny.def;
}

- 重启nginx, OK

2 Docker LEMP 方式

-- 定义docker-compose.yml节

version: '3'
services:
    acme:
        image: neilpang/acme.sh
        container_name: ${APP_NAME:?err}-acme
        volumes:
            - "./acme.sh:/acme.sh:z"
            - "/data0:/data0"
        environment:
            - CF_Key=""
            - CF_Email=""
        command: daemon
    nginx:
        #image: nginx:latest
        container_name: ${APP_NAME:?err}-nginx
        restart: always
        build:
            dockerfile: nginx.Dockerfile
            context: ./docker
        ports:
            - '80:80'
            - '443:443'
        links:
            - 'php'
        depends_on:
            - php
        volumes:
            - '/data0/Server/Settings/nginx:/etc/nginx'
            - '/data0/Server/Logs/nginx:/var/log/nginx'
            - '/data0/Server/Tools:/var/server-tools'
            - '/data0/Projects:/var/www/html'
            - '/data0/Server/Auths:/var/server-auths'

-- 站点虚拟机conf

server {
        listen       80;
        listen       443 ssl;
        listen       [::]:80;
        server_name  xxx.com www.xxx.com;
        
        if ($server_port !~ 443){
            rewrite ^(/.*)$ https://$host$1 permanent;
        }
        
        ssl_certificate /var/server-auths/certs/$server_name/fullchain.crt;
        ssl_certificate_key /var/server-auths/certs/$server_name/the.key;
        
        set $host_path "/var/www/html/Eshops/xxx.com/src/web";

        access_log   /var/log/nginx/www.xxx.com.log main;
        error_log    /var/log/nginx/www.xxx.com.error.log;
        
        charset utf-8;
        
        root   $host_path;
        index  index.php index.html index.htm;
        
        # letsencrypt file verify
        location /.well-known/acme-challenge/ {
            alias       $host_path/.well-known/acme-challenge/;
            try_files   $uri =404;
        }
        
        #location / {
        #    
        #    try_files $uri $uri/ /index.php$is_args$args;
        #}
        
        ...
}

-- 命令行

#首次需要登记email
docker exec om-acme --register-account -m {your mail}

#保管目录
mkdir /data0/Server/Auths/certs/{domain}

#申请证书
docker exec om-acme --set-default-ca --server letsencrypt --issue -d {domain} -w /data0/Projects/BD/oym001/staging/src/mobile
 
#部署证书,位置与 docker-compose.yml相应
docker exec om-acme --install-cert -d {domain} --key-file /data0/Server/Auths/certs/{domain}/the.key --fullchain-file /data0/Server/Auths/certs/{domain}/fullchain.crt

#修改所属
chown www-data:www-data /data0/Server/Auths/certs/{domain} -Rf

#重启nginx
docker-compose restart nginx

-- 设置cron每月自动重启nginx

# 因证书每三个月到期,更新后需重启/重载nginx才起效,所以需设置一个自动重启cron 命令
# crontab -e

0 3 1 * * /usr/bin/docker restart om-nginx > /dev/null 2>&1

- 参考

bennybi
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Let’s Encrypt Challenge and acme.sh Issue Mode
来啊 快活啊
09-10 1046
Basic dns cname: 将域名指向另外一个域名; txt:存储一个512长度内的文本,通常作SPF记录(Sender Policy Framework 反垃圾邮件); ns:将子域名指定其他的DNS服务器解析; dig linux dig 命令使用方法 Let’s Encrypt Let’s Encrypt 是免费、开放和自动化的证书颁发机构。由非盈利组织互联网安全研究小组(ISRG)运...
nginx对于XXX.com和XXX.com/index给映射到www.xxx.com的方式
fhb19870610的专栏
05-15 33万+
location / {             root    C:/website;             index   index.html index.htm index.php;             include C:/website/.htaccess; if ($host !~ "www.xincanzs.com") { rewrite
群晖7.2用docker安装acme.sh,实现自动更新部署SSL证书
最新发布
u013102163的博客
04-27 2179
最近发现SSL到期了,上去阿里云一看,免费证书有效期才3个月了,本来就1年一次觉得够烦了。干脆弄一下自动部署更新SSL证书吧(以阿里云为例)。
thinkphp 项目,本地项目用www.XXX(自己填的名称).com访问方式
weixin_42231483的博客
08-03 8万+
本地项目用www.XXX(自己填的名称).com访问方式 第一步 : 先进入 C:\Windows\System32\drivers\etc\hosts 打开hosts文件,在最后一行添加 127.0.0.1 localhost www.xxx1.com www.xxx2.com www.xxx3.com … 等等 www.xxx1.com 就是自...
【建站系列教程】6、.htaccess文件的url重写规则-网页伪静态化
十一月廿七风雨大作
03-03 2万+
【建站系列教程】6、.htaccess文件的url重写规则-网页伪静态化如何创建.htaccess文件?.htaccess是什么htaccess语法教程 写在前面:大家好,我是热爱编程的小泽。 【建站系列教程】是我的亲身建站经历写给广大建站同胞们的教学博客。 喜欢的话点个赞吧~ 评论区欢迎交流讨论~ 注意:.htaccess文件,无文件名,第一个字符就是 . 如何创建.htaccess文件? ...
ThinkPHP下访问www.xxx.com访问成功www.xxx.com/后加上index、admin等报错
m0_37360025的博客
05-22 8万+
原因主要是Apache不支持.htaccess 1.httpd.conf,如果是多域名的要加上httpd-vhosts.conf Options FollowSymLinks AllowOverride None 改为: Options FollowSymLinks AllowOverride All 2. httpd.conf中开启LoadModule rewrite_module modules/mod_rewrite.so ...
威联通qnap使用acme自动更新证书 qnap-acme.sh
01-29
配合neilepang/acme.sh容器,QTS 5.x可用脚本
2023年!使用acme为群晖NAS自动部署证书
01-30
使用acme为群晖NAS自动部署证书 之前一直是用的阿里云的免费证书,只能单个域名申请,有效期一年。这样每年都需要进行证书更新,最近真的是头秃了。在查阅不少资料后,发现使用acme可以快速满足需求。 acme.sh是一...
win-acme 网站https 证书免费申请工具
08-15
用于windows网站申请免费版的https证书服务,3个月有效到期后再次手动申请即可续期无需任何费用,操作简单便捷
qnap-acme.sh
09-18
威联通QNAP自动续签更新SSL证书脚本(配合acme.sh使用),支持Let's Encrypt免费证书,支持域名泛解析证书,如:*.xx.com。
acmebot:使用ACME协议的证书管理器机器人
05-10
ACME协议自动证书管理器。 该工具类似于ACFF的Certbot,使用ACME协议从证书颁发机构获取并维护证书。 当使用Let's Encrypt开发和测试该工具时,该工具应可使用ACME协议与任何证书颁发机构一起使用。 特征 此工具不...
xxx@xxx.com
09-09
lorem ipsm dolor sit amet
XXX.rar_H XXX_XXX.www._https://cn.txxx.com_wwwxxxex_xxxwww.98
09-23
信号处理入门级程序,包含了数据采集,频谱分析等
无法解决此远程名称:“www.xxxxxx.com“的解决方法
热门推荐
Ling_smile的博客
01-08 83万+
分析原因:从防火墙屏蔽端口到支付宝签约id是否过期,最后才找出原因,原来我的服务器DNS解析错误,无法访问到调用的远程服务器。原因是:服务器不能上外网。     解决办法如下:         在服务器上执行:开始|运行|cmd  ping www.***com  //注:ping 后面的地址是你调用的远程服务器的域名。         如果可以ping通,说明DNS解析正确。      ...
如何在本地设置www.xxx.com,使其允许访问
weixin_30429201的博客
04-21 16万+
1. 打开C:\Windows\System32\Drivers\etc 的hosts 文件 2. 在host文件写一行话: 192.168.1.40 www.xxx.com 3. 这样就可以打开 www.xxx.com 4. 若有开防火墙,须对端口开例外 转载于:https://www.cnblogs.com/kittyguo/p/5417744.html...
nginx请求转发被拒绝_http请求header及nginx转发问题
weixin_39603117的博客
12-29 1849
前言最近在项目http请求中使用header频次颇多,于是总结一下header的用法及遇到的一些坑。常见请求体公共header常见的一些请求方发送的公共header如下所示:名称示例说明Hostwww.xxx.com本次http请求的host地址Content-Typeapplication/jsonpost、put请求body数据格式Accept-Languagezh-CN接收数据的内容语言列表...
如何绕过CDN找源站ip?
weixin_30855761的博客
08-24 1万+
这是一个总结帖,查了一下关于这个问题的国内外大大小小的网站,对其中说的一些方法总结归纳形成,里面具体发现ip的方法不是原创,所有参考的原贴都也贴在了后面,大家可以自行看看原贴。 首先,先要明确一个概念,如果人CDN做得好,或者整个站都用CDN加速了,你是几乎找不到他的源站IP的,因为对于你来说被CDN给屏蔽了,是个黑盒子[1]。 下面,我们从一些特别的角度去绕过CDN找源站IP。从前往后,是提...
frp内网穿透疑难杂症【1】do http proxy request [host:www.xxx.xxx] error: no root found: www.xxx.xxx
wangleleb的博客
07-11 4万+
客户端配置域名访问和访问的域名不匹配如下 配置的域名必须和浏览器访问的域名一致。
Nginx + CertBot 泛解析域名申请https证书以及利用脚本完成证书自动续期
weixin_43558927的博客
02-21 3858
升级 https 使用 Nginx + CertBot 泛解析域名证书的申请及(脚本)自动续期
acme 自动证书管理
06-10
3. lego:lego 是一个用 Go 语言编写的 ACME 客户端,它可以自动证书获取和更新过程,支持多种 API 和 DNS 验证方式。 使用 ACME 客户端,您可以轻松地自动证书获取和更新过程,从而减轻了管理 SSL/TLS 证书的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

bennybi

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值