前言
眼看着小绿锁快到期了,但是crontab又失效了
作为一个懒人,只好上网找现成的工具来解决
登登登登,主角登场:acme.sh
简单介绍ACME
ACME 全称是 Automated Certificate Management Environment,直译过来是自动化证书管理环境的意思,Let’s Encrypt 的证书签发过程使用的就是 ACME 协议。有关 ACME 协议的更多资料可以在这个仓库找到。
之前我的网站就是用的 Let’s Encrypt 这个免费、自动化、开放的证书签发服务。正好到3月19号就到期了,需要续签,于是就找到了acme.sh这个小工具。
acme.sh的好处:
- 一键快捷安装 acme.sh
- 一行命令生成证书
- 自动更新证书
- 自动更新 acme.sh
使用方法
官方文档(中文):acme.sh说明
其实官方文档里面已经说很详细了,我也是跟着文档一步步来操作的。
这篇文章把一些要注意的地方和截图都补上,让大家能清晰快速地更新证书~
主要步骤:
1.安装acme.sh
安装很简单, 一个命令:
curl https://get.acme.sh | sh
这个命令把acme.sh安装到home目录下,并且自动创建cronjob
注意:安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中: ~/.acme.sh/
2.生成证书
acme.sh 实现了 acme 协议支持的所有验证协议. 一般有两种方式验证: http 和 dns 验证
我使用的是http方式,如果想用dns验证的请看官方文档
首先进入/home/.acme.sh/ 目录,然后执行下面这条命令
acme.sh --issue -d bluelzy.com -d www.bluelzy.com --webroot /var/www/bluelzy.com
www.bluelzy.com -> 换成你的域名
/var/www/bluelzy.com -> 换成你的网站根目录
如果你用的 apache服务器, acme.sh 还可以智能的从 apache的配置中自动完成验证, 你不需要指定网站根目录:
acme.sh --issue -d mydomain.com --apache
如果你用的 nginx服务器, 或者反代, acme.sh 还可以智能的从 nginx的配置中自动完成验证, 你不需要指定网站根目录:
acme.sh --issue -d mydomain.com --nginx
如无意外应该能看到以下输出:
[Sat Mar 17 22:38:56 EDT 2018] Your cert is in /root/.acme.sh/bluelzy.com/bluelzy.com.cer
[Sat Mar 17 22:38:56 EDT 2018] Your cert key is in /root/.acme.sh/bluelzy.com/bluelzy.com.key
[Sat Mar 17 22:38:56 EDT 2018] The intermediate CA cert is in /root/.acme.sh/bluelzy.com/ca.cer
[Sat Mar 17 22:38:56 EDT 2018] And the full chain certs is there: /root/.acme.sh/bluelzy.com/fullchain.cer
代表证书已经成功生成了!
3.copy/安装证书
前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方.
注意, 默认生成的证书都放在安装目录下: ~/.acme.sh/
, 请不要直接使用此目录下的文件, 例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件. 这里面的文件都是内部使用, 而且目录结构可能会变化.
正确的使用方法是使用 --installcert
命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:
acme.sh --installcert -d <domain>.com \
--key-file /etc/nginx/ssl/<domain>.key \
--fullchain-file /etc/nginx/ssl/fullchain.cer \
解释一下:
Nginx 的配置 ssl_certificate
使用 /etc/nginx/ssl/fullchain.cer
,而非 /etc/nginx/ssl/<domain>.cer
,否则 SSL Labs 的测试会报 Chain issues Incomplete
错误。
4.修改配置文件
打开nginx的配置文件,找到
# SSL证书配置
ssl_certificate /etc/letsencrypt/live/bluelzy.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/bluelzy.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
把ssl_certificate路径换成:/etc/nginx/ssl/fullchain.cer
把ssl_certificate_key路径换成:/etc/nginx/ssl/.key
注意:如何你的证书不是保存在这个路径,请找到正确的路径,再修改!
保存后执行一下:
service nginx force-reload
(一个小提醒, 这里用的是 service nginx force-reload
, 不是 service nginx reload
, 据测试, reload
并不会重新加载证书, 所以用的 force-reload
)
再刷新自己的网站~就能看到证书已经被更新啦!!!
5.更新证书
目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.
6.更新acme.sh
目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.
升级 acme.sh 到最新版 :
acme.sh --upgrade
如果你不想手动升级, 可以开启自动升级:
acme.sh --upgrade --auto-upgrade
之后, acme.sh 就会自动保持更新了.
你也可以随时关闭自动更新:
acme.sh --upgrade --auto-upgrade 0
开启自动更新:
注意事项
第一个坑
在第二步中:
acme.sh --issue -d bluelzy.com -d www.bluelzy.com --webroot /var/www/bluelzy.com
webroot:参数是网站的根目录,否则会报错无法验证域名
第二个坑
在第三步中:
如果复制的文件夹不存在,那么需要先创建文件夹,再执行命令。