用acme签发Let's Encrypt证书

下载acme.sh

# curl https://get.acme.sh | sh

安装时提下列信息, 可以不用管, 也可以安装 socat ( # yum -y install socat )
在这里插入图片描述

添加别名方便执行

# alias acme.sh=~/.acme.sh/acme.sh

执行签发泛域名证书

acme.sh --issue -d brando.org.cn -d '*.brando.org.cn' --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please --keylength ec-384

在这里插入图片描述
执行完成后, 会提示. 去域名解析处配置TXT解析. 把Domain, 和 TXT value 配置进去.
在这里插入图片描述
此配置图片值不对应. 自己使用的时候需要配置正确.

配置完成后检查是否配置正确(可以省略)

安装 dig 命令组建
# yum install bind-utils

查看TXT值是否配置正确
# dig _acme-challenge.brando.org.cn txt

重新执行生成证书.

# acme.sh --renew --ecc -d brando.org.cn -d '*.brando.org.cn' --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please --keylength ec-384

生成成功图片生成成功

生成完成后需再次生成

# acme.sh --renew --ecc --force -d brando.org.cn -d '*.brando.org.cn' --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please --keylength ec-384

复制证书文件

# cd /root/.acme.sh/brando.org.cn_ecc/
fullchain.cer 是证书
brando.org.cn.key 是私钥

Nginx配置HTTPS证书

	server {
		listen 443 ssl http2;
		server_name www.brando.org.cn;

		ssl on;
		ssl_certificate /ssl/brando.org.cn.cer;     # SSL 证书文件( 对应fullchain.cer文件, 只是改了个名字 )
		ssl_certificate_key /ssl/brando.org.cn.key; # SSL 私钥文件

		#ssl优化配置.
		ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
		ssl_stapling on;
		ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA";
		ssl_prefer_server_ciphers on;
		ssl_session_cache shared:SSL:50m;
		ssl_session_timeout 10m;
		
		location / {
			proxy_set_header   X-Forwarded-Proto https;
			proxy_set_header   X-Real-IP $remote_addr;
			proxy_set_header   Host      $http_host;
			proxy_pass         http://127.0.0.1:8080;
			proxy_connect_timeout 1800s;
			proxy_send_timeout 1800s;
			proxy_read_timeout 1800s;
		}
	}
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值