为小绿锁快速续命

前言

眼看着小绿锁快到期了,但是crontab又失效了

作为一个懒人,只好上网找现成的工具来解决

登登登登,主角登场:acme.sh

简单介绍ACME

ACME 全称是 Automated Certificate Management Environment,直译过来是自动化证书管理环境的意思,Let’s Encrypt 的证书签发过程使用的就是 ACME 协议。有关 ACME 协议的更多资料可以在这个仓库找到。

之前我的网站就是用的 Let’s Encrypt 这个免费、自动化、开放的证书签发服务。正好到3月19号就到期了,需要续签,于是就找到了acme.sh这个小工具。

acme.sh的好处:

  1. 一键快捷安装 acme.sh
  2. 一行命令生成证书
  3. 自动更新证书
  4. 自动更新 acme.sh

使用方法

官方文档(中文):acme.sh说明

其实官方文档里面已经说很详细了,我也是跟着文档一步步来操作的。

这篇文章把一些要注意的地方和截图都补上,让大家能清晰快速地更新证书~

主要步骤:

1.安装acme.sh

安装很简单, 一个命令:

curl  https://get.acme.sh | sh

这个命令把acme.sh安装到home目录下,并且自动创建cronjob

注意安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中: ~/.acme.sh/

2.生成证书

acme.sh 实现了 acme 协议支持的所有验证协议. 一般有两种方式验证: http 和 dns 验证

我使用的是http方式,如果想用dns验证的请看官方文档

首先进入/home/.acme.sh/ 目录,然后执行下面这条命令

acme.sh  --issue  -d bluelzy.com -d www.bluelzy.com  --webroot  /var/www/bluelzy.com

www.bluelzy.com -> 换成你的域名

/var/www/bluelzy.com -> 换成你的网站根目录

如果你用的 apache服务器, acme.sh 还可以智能的从 apache的配置中自动完成验证, 你不需要指定网站根目录:

acme.sh --issue  -d mydomain.com   --apache

如果你用的 nginx服务器, 或者反代, acme.sh 还可以智能的从 nginx的配置中自动完成验证, 你不需要指定网站根目录:

acme.sh --issue  -d mydomain.com   --nginx

如无意外应该能看到以下输出:

[Sat Mar 17 22:38:56 EDT 2018] Your cert is in  /root/.acme.sh/bluelzy.com/bluelzy.com.cer
[Sat Mar 17 22:38:56 EDT 2018] Your cert key is in  /root/.acme.sh/bluelzy.com/bluelzy.com.key
[Sat Mar 17 22:38:56 EDT 2018] The intermediate CA cert is in  /root/.acme.sh/bluelzy.com/ca.cer
[Sat Mar 17 22:38:56 EDT 2018] And the full chain certs is there:  /root/.acme.sh/bluelzy.com/fullchain.cer

代表证书已经成功生成了!

3.copy/安装证书

前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方.

注意, 默认生成的证书都放在安装目录下: ~/.acme.sh/, 请不要直接使用此目录下的文件, 例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件. 这里面的文件都是内部使用, 而且目录结构可能会变化.

正确的使用方法是使用 --installcert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:

acme.sh  --installcert  -d  <domain>.com   \
        --key-file   /etc/nginx/ssl/<domain>.key \
        --fullchain-file /etc/nginx/ssl/fullchain.cer \

解释一下:

Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer ,而非 /etc/nginx/ssl/<domain>.cer ,否则 SSL Labs 的测试会报 Chain issues Incomplete 错误。

4.修改配置文件

打开nginx的配置文件,找到

 # SSL证书配置
        ssl_certificate /etc/letsencrypt/live/bluelzy.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/bluelzy.com/privkey.pem;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_session_cache shared:SSL:10m;
        ssl_session_timeout 10m;

把ssl_certificate路径换成:/etc/nginx/ssl/fullchain.cer

把ssl_certificate_key路径换成:/etc/nginx/ssl/.key

注意:如何你的证书不是保存在这个路径,请找到正确的路径,再修改!

保存后执行一下:

service nginx force-reload

(一个小提醒, 这里用的是 service nginx force-reload, 不是 service nginx reload, 据测试, reload 并不会重新加载证书, 所以用的 force-reload)

再刷新自己的网站~就能看到证书已经被更新啦!!!

Snip20180318_51.png

5.更新证书

目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.

6.更新acme.sh

目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.

升级 acme.sh 到最新版 :

acme.sh --upgrade

如果你不想手动升级, 可以开启自动升级:

acme.sh  --upgrade  --auto-upgrade

之后, acme.sh 就会自动保持更新了.

你也可以随时关闭自动更新:

acme.sh --upgrade  --auto-upgrade  0

开启自动更新:

Snip20180318_55.png

注意事项

第一个坑

在第二步中:

acme.sh  --issue  -d bluelzy.com -d www.bluelzy.com  --webroot  /var/www/bluelzy.com

webroot:参数是网站的根目录,否则会报错无法验证域名

第二个坑

在第三步中:

如果复制的文件夹不存在,那么需要先创建文件夹,再执行命令。

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值