Rocky(Centos)使用acme.sh申请安装Let‘s Encrypt泛域名ECC证书(阿里DNS)

已于 2022-02-21 13:34:54 修改
阅读量1.6k 收藏 4
点赞数
分类专栏: Linux学习 网站 安全 文章标签: tls https centos ecc ca证书
于 2021-08-19 22:45:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37184909/article/details/119812687
版权
Linux学习 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
网站
1 篇文章 0 订阅
订阅专栏
安全
1 篇文章 0 订阅
订阅专栏

现代的浏览器开始有将 https 访问作为默认访问方式的倾向,因此需要将网站配置为https 访问。

Let’s Encrypt 组织提供免费的 TLS 加密证书,用于协助web服务器实现https协议。而 acme.sh 脚本便是可以实现从 Let’s Encrypt 自动化申请、续期 TLS 证书的强力工具。

永久链接:http://blog.ryjer.com/posts/a1993e0126.html

Debian 10、OMV 5、CentOS、RHEL、Rocky和 SUSE 等服务器linux 发行版都适用。

1、目的

使用 acme.sh 脚本为 web服务器(Nginx)申请 ECC TLS 证书,实现网站的 https 加密访问。

2、过程

参考文档

github acme.sh官方文档

1. 安装 acme.sh

安装很简单, 一个命令。注意更改最后的my@example.com为你自己的邮箱

curl  https://get.acme.sh | sh -s email=my@example.com

官网的文档上说会自动创建一个 alias,但我这里没有效果。所以手动创建一个,运行以下命令:

alias acme.sh=~/.acme.sh/acme.sh

安装过程也会同时创建一个 cron 定时任务,可以使用 crontab -l 命令查看,会多出来如下的一行(通常分钟数是随机的)

32 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

上面这个表示在每天 0:32 执行一次

2021-08-07 更新

acme.sh 官方宣布将在 2021-08-01 后将默认CA 证书申请机构从 Let’s Encrypt 转变为 ZeroSSL(估计是被收购了)。详情见 Change default CA to ZeroSSL · acmesh-official/acme.sh Wiki (github.com)

ZeroSSL 也可以申请免费的 90天证书并自动续签,但是需要注册 ZeroSSL 账号后才能使用。但是公告了提供了继续保持原有 CA 机构为 Let’s Encrypt 的方法,使用以下命令将默认CA (证书颁发机构)改为 Let’s Encrypt,且 acme 自动升级后仍将保存该默认设置

acme.sh --set-default-ca  --server  letsencrypt

如果你想改用 ZeroSSL的话,请参考这篇官方文档: ZeroSSL.com CA · acmesh-official/acme.sh Wiki (github.com)

注意,这需要你去注册一个 ZeroSSL 的账户,注册使用是免费的

2. 开启自动升级

如果你不想手动升级, 可以开启自动升级,这样以后就不用再管了

acme.sh  --upgrade  --auto-upgrade

你也可以随时关闭自动更新

acme.sh --upgrade  --auto-upgrade  0

3. 生成证书

家用宽带是没有80端口的,所以选择使用 DNS服务商(我是阿里) 提供的 API 进行自动添加记录验证的方式申请。

其他的DNS服务商可以参考这个页面 github acme.sh 官方dnsapi 参考文档

下面的是阿里云DNS的环境变量,值是我胡乱打的,注意改为你的值

export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"

然后,就可以使用以下命令申请域名了。这里假定域名是 domain.com 。这里第二个 -d 参数为 *.domain.com,表示申请一个泛域名证书(没错,这两个域名只会生成一个证书)。默认会申请 RSA算法 证书,我这里用 -k ec-384 参数改为申请 384位ECC算法 证书。

acme.sh --issue --dns dns_ali -d domain.com -d *.domain.com -k ec-384

4. copy/安装 证书

生成的证书会存放在当前用户的 ~/.acme.sh 文件夹内。由于acme.sh 脚本会不断更新,该文件夹内的布局也会不断改变。显然直接从该文件夹内拷贝证书出来是一种很不可靠的行为,因为你无法确定下一次证书所在的具体路径。

因此,acme.sh专门提供了复制/安装证书的方法,并且不建议用户直接去 ~/.acme.sh 文件夹内复制证书使用。

根据不同的web服务器,有不同的命令。最为常见的服务器是 Apache httpdNginx,我这里使用的是 Nginx,由于是ECC证书,需要额外的 --ecc 参数

Nginx example:

acme.sh --install-cert -d domain.com --ecc \
--key-file       /etc/nginx/ssl/domain.com/domain.com.key  \
--fullchain-file /etc/nginx/ssl/domain.com/fullchain.cer \
--reloadcmd     "service nginx force-reload"

5. 更新证书

目前证书在 60 天以后会自动更新,你无需任何操作。今后有可能会缩短这个时间,不过都是自动的,你不用关心。

当然,你也可以手动更新ECC证书

acme.sh --renew -d domain.com --force --ecc

如果不是ECC证书的话,不需要--ecc参数

acme.sh --renew -d domain.com --force

这些配置完后,就不用再管了,可以忘掉这些事了。

提示:acme.sh 官方对申请证书的频率有限制,子域名好像每周最多4次。所以不要频繁乱申请!

6. 吊销证书

如果运气不好,证书文件泄露了。你需要吊销当前的ECC证书,对应命令为

acme.sh --revoke -d domain.com --ecc

不是ECC证书则不需要 --ecc参数

acme.sh --revoke -d domain.com
-没名字-
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
acme.sh免费签发SSL证书
云原生运维
12-25 4726
acme.sh 概述 一个纯粹用Shell(Unix shell)语言编写的ACME协议客户端。 完整的ACME协议实施。 支持ACME v1和ACME v2 支持ACME v2通配符证书 简单,功能强大且易于使用。你只需要3分钟就可以学习它。 Let's Encrypt免费证书客户端最简单的shell脚本。 纯粹用Shell编写,不依赖于python或官方的Let's Encrypt客户端。 只需一个脚本即可自动颁发,续订和安装证书。 不需要root/sudoer访问权限。 支持在Doc
使用 acme.sh 为网站生成永久免费证书
m0_69214212的博客
04-06 4838
原文发布在 不二博客 HTTP 2.0 时代几乎所有的网站都是 https 访问方式了,想要实现 https 访问,安全证书就是绕不过去的坎,域名服务商一般都会提供了免费证书注册,网上也可以搜索很多,常见的免费证书的颁发机构有 亚洲诚信、Let’s Encrypt、ZoreSSL 等。免费证书的优缺点: 优点: 免费 缺点: 个数限制 时间限制 无法申请通配证书 只要有一个 免费 的优点就够了,缺点都是可以克服的。而克服这些缺点的英雄就是 acme.shacme.sh 实现了 acme 协议,.
ACME.SH 申请SSL证书(免费、自动更新)
fyhju1的博客
09-24 1万+
1. 获取DNS密钥 (1)获取域名服务商AccessKey ID及AccessKey Secret 我使用域名是阿里云,故需要去阿里云RAM管理平台获取: 其他服务商,可以去指定的服务商控制台获取。 阿里云参考文档:如何获取AccessKey ID和AccessKey Secret - 阿里云如何获取AccessKey ID和AccessKey Secret - 阿里云 记住APPID和APPSecret 2. 安装申请 (1)安装ACME curl https://get.ac
使用acme.sh实现免费且自动更新HTTPS证书
最新发布
m0_60125201的博客
04-24 809
acme.sh提供了一个简单、高效的方法来管理Let's Encrypt证书,支持多种验证方式和自动续期功能,极大地简化了HTTPS证书的部署和管理。
Linux下使用acme.sh 配置https 免费证书
u010227042的博客
12-29 2339
acme.sh 简单来说acme.sh 实现了 acme 协议, 可以从 let‘s encrypt 生成免费的证书acme.sh 有以下特点: 一个纯粹用Shell(Unix shell)语言编写的ACME协议客户端。 完整的ACME协议实施。 支持ACME v1和ACME v2 支持ACME v2通配符证书 简单,功能强大且易于使用。你只需要3分钟就可以学习它。 Let's Encrypt免费证书客户端最简单的shell脚本。 纯粹用Shell编写,不依赖于python或官方的Let's Encr
Windows的acme.sh——win-acme使用教程
hl128k的博客
09-08 6505
腾讯域名用win-acme给windows服务器通过脚本自动添加更新SSL(Let’s Encrypt证书的方法过程。
acme.sh使用阿里云DNS申请Let’s Encrypt的https证书
⎛⎝世界⎠⎞的博客
03-18 7695
环境: centos7 前置条件: 域名一个 acme 脚本 阿里云云账号AccessKey ID和AccessKey Secret 前言: acme.sh 有两种方式验证: http 和 dns 验证。 1. http 方式需要在你的网站根目录下放置一个文件, 来验证你的域名所有权,完成验证. 然后就可以生成证书了.(需要公网IP和开放相应端口) 2. 手动 dns 方式..................
acme.sh 生成 ECC 类型的 SSL 证书
mixboot
12-13 1486
acme.sh 生成 ECC 类型的 SSL 证书
使用 acme.sh 免费申请域名证书和自动续约
qwe134133987的博客
12-27 1665
使用 acme.sh 申请域名证书免费申请自动续约,自动更新证书等操作。
使用acme.sh给静态博客申请免费https证书
victorc666的博客
05-04 1436
博客搭建之后,要申请一个ssl证书,https是标配,这个环节必不可少,免费的SSL证书一般都是通过acme.sh脚本去申请,网上搜索了很多文章,写的都不太清楚,看得让人非常浪费心智, 建议所有程序员都去读一下面这本书,能够稳定高效的输出 踩过的坑 不要用主机申请,直接用域名验证申请 只用RSA格式证书,不用ECCecc浏览器兼容性不好,需要nginx特殊配置 安装 curl https://get.acme.sh | sh 就是一步,很简单 通过域名验证申请 先在阿里云网站上获得你的 Key和S
centos-release-openstack-rocky-1-1.el7.centos.noarch.rpm
03-12
centos-release-openstack-rocky-1-1.el7.centos.noarch.rpm
migrate2rocky.shCentOS8转换为Rocky Linux8的脚本文件)
09-17
直接执行可以将CentOS8转换为Rocky Linux8
libz.so.1+libz.so.1.2.11 centos rocky原始文件2024
04-01
rpm:error while loading shared libraries: libz.so.1: cannot open shared object file sudo: error in /etc/sudo.conf, line 19 while loading plugin "sudoers_policy" sudo: unable to load /usr/libexec/sudo/...
CentOS 7下使用RPM安装mysql5.7.13
01-19
本文操作系统: CentOS 7.2.1511 x86_64 MySQL 版本: 5.7.13 1、卸载系统自带的 mariadb-lib [root@centos-linux ~]# rpm -qa|grep mariadb mariadb-libs-5.5.44-2.el7.centos.x86_64 [root@centos-linux ~]# rpm ...
安装中文CentOS 6.5的详细步骤及要注意点-讲.doc
06-14
**安装中文CentOS 6.5的详细步骤** 在安装中文版的CentOS 6.5时,我们需要遵循一系列步骤,确保系统能够正确无误地安装。以下是一份详细的安装指南: 1. **获取安装介质**:首先,你需要下载CentOS 6.5的ISO镜像...
威联通QNAP使用acme.sh工具自动续签到期SSL证书
u011470046的博客
09-18 6695
acme.sh功能及特点:1.自动续签更新证书;2.支持证书更新通知(QQ、Dingtalk钉钉、Telegra–m、Email等)申请证书方式(分为http和dns两种):1.http方式不适合于NAS使用,该方式需要通过80、443端口验证域名访问状态,而国,,,内—网络环境因素一般家用宽带是不给用80、443等端口的。2.dns方式。
acme.sh简单教程
热门推荐
Dancen的专栏
10-29 3万+
简介 官网: Github: https://github.com/acmesh-official/acme.sh Wiki: https://github.com/acmesh-official/acme.sh/wiki acme.sh用于生成免费的ssl证书,其完整实现了acme协议,并且由纯Shell脚本语言编写,没有过多的依赖项,安装使用都非常方便。 1. 支持的CA > ZeroSSL.com CA(default):90天 > Letsencrypt.or...
生成免费的证书.acme 基于nginx
m0_52454621的博客
04-08 5743
https://github.com/acmesh-official/acme.sh官方文档设计 多种 一、安装acme,可能一次安装不成功,要多安装几次 1、curl https://get.acme.sh | sh -s email=my@example.com 二、生成证书 用于nginx 你用的nginx服务器, 或者反代,acme.sh还可以智能的从nginx的配置中自动完成验证 acme.sh --issue -d mydomain.com -.........
Rocky配置阿里源并安装openslide
06-01
好的,以下是Rocky配置阿里源并安装openslide的步骤: 1. 修改CentOS的yum源,将默认的yum源修改为阿里云的yum源。可以使用以下命令备份原有的yum源并修改为阿里云的yum源: ``` mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo ``` 2. 安装openslide及其依赖库。可以使用以下命令安装openslide及其依赖库: ``` yum install openslide openslide-tools -y ``` 安装完成后,您可以通过以下命令检查openslide是否安装成功: ``` openslide-show-properties /usr/share/openslide/examples/CMU-1.ndpi ``` 如果成功安装openslide,将会打印出该文件的属性信息。 希望这些步骤可以帮助您成功配置阿里源并安装openslide。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值