Rocky(Centos)使用acme.sh申请安装Let‘s Encrypt泛域名ECC证书(阿里DNS)

已于 2022-02-21 13:34:54 修改
阅读量1.6k 收藏 4
点赞数
分类专栏: Linux学习 网站 安全 文章标签: tls https centos ecc ca证书
于 2021-08-19 22:45:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37184909/article/details/119812687
版权
Linux学习 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
网站
1 篇文章 0 订阅
订阅专栏
安全
1 篇文章 0 订阅
订阅专栏

现代的浏览器开始有将 https 访问作为默认访问方式的倾向,因此需要将网站配置为https 访问。

Let’s Encrypt 组织提供免费的 TLS 加密证书,用于协助web服务器实现https协议。而 acme.sh 脚本便是可以实现从 Let’s Encrypt 自动化申请、续期 TLS 证书的强力工具。

永久链接:http://blog.ryjer.com/posts/a1993e0126.html

Debian 10、OMV 5、CentOS、RHEL、Rocky和 SUSE 等服务器linux 发行版都适用。

1、目的

使用 acme.sh 脚本为 web服务器(Nginx)申请 ECC TLS 证书,实现网站的 https 加密访问。

2、过程

参考文档

github acme.sh官方文档

1. 安装 acme.sh

安装很简单, 一个命令。注意更改最后的my@example.com为你自己的邮箱

curl  https://get.acme.sh | sh -s email=my@example.com

官网的文档上说会自动创建一个 alias,但我这里没有效果。所以手动创建一个,运行以下命令:

alias acme.sh=~/.acme.sh/acme.sh

安装过程也会同时创建一个 cron 定时任务,可以使用 crontab -l 命令查看,会多出来如下的一行(通常分钟数是随机的)

32 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

上面这个表示在每天 0:32 执行一次

2021-08-07 更新

acme.sh 官方宣布将在 2021-08-01 后将默认CA 证书申请机构从 Let’s Encrypt 转变为 ZeroSSL(估计是被收购了)。详情见 Change default CA to ZeroSSL · acmesh-official/acme.sh Wiki (github.com)

ZeroSSL 也可以申请免费的 90天证书并自动续签,但是需要注册 ZeroSSL 账号后才能使用。但是公告了提供了继续保持原有 CA 机构为 Let’s Encrypt 的方法,使用以下命令将默认CA (证书颁发机构)改为 Let’s Encrypt,且 acme 自动升级后仍将保存该默认设置

acme.sh --set-default-ca  --server  letsencrypt

如果你想改用 ZeroSSL的话,请参考这篇官方文档: ZeroSSL.com CA · acmesh-official/acme.sh Wiki (github.com)

注意,这需要你去注册一个 ZeroSSL 的账户,注册使用是免费的

2. 开启自动升级

如果你不想手动升级, 可以开启自动升级,这样以后就不用再管了

acme.sh  --upgrade  --auto-upgrade

你也可以随时关闭自动更新

acme.sh --upgrade  --auto-upgrade  0

3. 生成证书

家用宽带是没有80端口的,所以选择使用 DNS服务商(我是阿里) 提供的 API 进行自动添加记录验证的方式申请。

其他的DNS服务商可以参考这个页面 github acme.sh 官方dnsapi 参考文档

下面的是阿里云DNS的环境变量,值是我胡乱打的,注意改为你的值

export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"

然后,就可以使用以下命令申请域名了。这里假定域名是 domain.com 。这里第二个 -d 参数为 *.domain.com,表示申请一个泛域名证书(没错,这两个域名只会生成一个证书)。默认会申请 RSA算法 证书,我这里用 -k ec-384 参数改为申请 384位ECC算法 证书。

acme.sh --issue --dns dns_ali -d domain.com -d *.domain.com -k ec-384

4. copy/安装 证书

生成的证书会存放在当前用户的 ~/.acme.sh 文件夹内。由于acme.sh 脚本会不断更新,该文件夹内的布局也会不断改变。显然直接从该文件夹内拷贝证书出来是一种很不可靠的行为,因为你无法确定下一次证书所在的具体路径。

因此,acme.sh专门提供了复制/安装证书的方法,并且不建议用户直接去 ~/.acme.sh 文件夹内复制证书使用。

根据不同的web服务器,有不同的命令。最为常见的服务器是 Apache httpdNginx,我这里使用的是 Nginx,由于是ECC证书,需要额外的 --ecc 参数

Nginx example:

acme.sh --install-cert -d domain.com --ecc \
--key-file       /etc/nginx/ssl/domain.com/domain.com.key  \
--fullchain-file /etc/nginx/ssl/domain.com/fullchain.cer \
--reloadcmd     "service nginx force-reload"

5. 更新证书

目前证书在 60 天以后会自动更新,你无需任何操作。今后有可能会缩短这个时间,不过都是自动的,你不用关心。

当然,你也可以手动更新ECC证书

acme.sh --renew -d domain.com --force --ecc

如果不是ECC证书的话,不需要--ecc参数

acme.sh --renew -d domain.com --force

这些配置完后,就不用再管了,可以忘掉这些事了。

提示:acme.sh 官方对申请证书的频率有限制,子域名好像每周最多4次。所以不要频繁乱申请!

6. 吊销证书

如果运气不好,证书文件泄露了。你需要吊销当前的ECC证书,对应命令为

acme.sh --revoke -d domain.com --ecc

不是ECC证书则不需要 --ecc参数

acme.sh --revoke -d domain.com
-没名字-
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
PHP、Nginx、openssl ECC证书搭建
qq_35827483的博客
02-23 528
搭建服务器基本环境,配置OpenSSL ECC证书到Nginx
centos7中申请Let‘s Encrypt的免费SSL证书
失之东隅,收之桑榆
10-17 701
自己申请Let‘s Encrypt的免费SSL证书并在nginx中安装
使用acme.sh实现免费且自动更新HTTPS证书
最新发布
m0_60125201的博客
04-24 780
acme.sh提供了一个简单、高效的方法来管理Let's Encrypt证书,支持多种验证方式和自动续期功能,极大地简化了HTTPS证书的部署和管理。
ECC证书申请方法
安全
03-03 627
ECC算法是目前SSL证书加密速度快,加密效率高,主要占用服务器资源少,抵抗攻击及安全高的特点,也是目前主流SSL证书算法。采用ECC加密算法证书,可以有效的加快响应速度,提高网站的安全性和传输数据稳定性。 申请ECC证书方法 一、我们将域名(网址)提交给Gworg申请。 二、根据要求进行域名解析或者文件上传认证,也可以域名管理者邮箱认证。 三、DV类型的ECC证书速度很快,一般几分钟就可以拿到ECC证书文件。OV类型的需要1个工作日内完成。 四、ECC证书算法配置对服务器环境的总结就是,环境尽量
acme.sh 生成 ECC 类型的 SSL 证书
mixboot
12-13 1478
acme.sh 生成 ECC 类型的 SSL 证书
wetty安装+使用acme.sh配置ssl
xiaoyue2019的博客
07-28 612
比赛,需要用到web调用控制台。 wetty实现了web+tty这种功能,而且比较轻便。 但是这种给客户用,是不是有点不安全。 环境:centos 配置:node >=6.9,make,python,build-essential 安装build-essential yum install make automake gcc gcc-c++ kernel-devel 安装yarn curl --silent --location https://dl.yarnpkg.com/rpm/yarn.
centos-release-openstack-rocky-1-1.el7.centos.noarch.rpm
03-12
centos-release-openstack-rocky-1-1.el7.centos.noarch.rpm
migrate2rocky.shCentOS8转换为Rocky Linux8的脚本文件)
09-17
直接执行可以将CentOS8转换为Rocky Linux8
libz.so.1+libz.so.1.2.11 centos rocky原始文件2024
04-01
rpm:error while loading shared libraries: libz.so.1: cannot open shared object file sudo: error in /etc/sudo.conf, line 19 while loading plugin "sudoers_policy" sudo: unable to load /usr/libexec/sudo/...
CentOS 7下使用RPM安装mysql5.7.13
01-19
本文操作系统: CentOS 7.2.1511 x86_64 MySQL 版本: 5.7.13 1、卸载系统自带的 mariadb-lib [root@centos-linux ~]# rpm -qa|grep mariadb mariadb-libs-5.5.44-2.el7.centos.x86_64 [root@centos-linux ~]# rpm ...
Xen虚拟机在CentOS系统中的安装使用方法
01-20
一、原理讲解  虚拟化的概念:将服务器物理资源抽象成逻辑资源,让一台服务器变成几台甚至上百台相互隔离的虚拟服务器,我们不再受限于物理上的界限,而是让CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池...
acme.sh使用阿里云DNS申请Let’s Encrypt的https证书
⎛⎝世界⎠⎞的博客
03-18 7665
环境: centos7 前置条件: 域名一个 acme 脚本 阿里云云账号AccessKey ID和AccessKey Secret 前言: acme.sh 有两种方式验证: http 和 dns 验证。 1. http 方式需要在你的网站根目录下放置一个文件, 来验证你的域名所有权,完成验证. 然后就可以生成证书了.(需要公网IP和开放相应端口) 2. 手动 dns 方式..................
使用acme.sh给静态博客申请免费https证书
victorc666的博客
05-04 1435
博客搭建之后,要申请一个ssl证书,https是标配,这个环节必不可少,免费的SSL证书一般都是通过acme.sh脚本去申请,网上搜索了很多文章,写的都不太清楚,看得让人非常浪费心智, 建议所有程序员都去读一下面这本书,能够稳定高效的输出 踩过的坑 不要用主机申请,直接用域名验证申请 只用RSA格式证书,不用ECCecc浏览器兼容性不好,需要nginx特殊配置 安装 curl https://get.acme.sh | sh 就是一步,很简单 通过域名验证申请 先在阿里云网站上获得你的 Key和S
ubuntu 使用 acme 工具免费申请 SSL 证书
jianghuixin
05-09 3476
安装 acme 工具 安装会完成以下内容: 1. 创建安装目录 `~/.acme.sh`, 即 `/root/.acme.sh` 2. 创建别名 `alias acme.sh=~/.acme.sh/acme.sh` 3. 创建一个定时任务(用于证书的续签) 卸载 acme 工具 签发 SSL 证书 包含两种方式 使用 HTTP/HTTPS 验证 使用 DNS 手动验证 安装证书 更新证书
使用acme.sh为Nextcloud申请Let’s Encrypt的ssl证书(非80端口)
yinshengchen的博客
04-19 1265
安装完会创建一个 cron 定时任务,可以使用crontab -l命令查看(通常分钟数是随机的)上面这个表示在每天 0:40 执行一次。
一个快速获取/更新 Let's encrypt 证书shell script
为什么我是菜鸟
12-03 3941
调用 acme_tiny.py 认证、获取、更新证书,不需要额外的依赖。
具有LetsEncrypt证书的RSA和ECDSA混合Nginx设置
编程故事的地方
01-04 1038
RSA与ECC比较。 使用包装在Docker映像中的certbot和acme.sh客户端颁发LetsEncrypt证书。 Nginx设置 目录 RSA与ECC比较。 为什么您可能需要ECDSA证书? 如何使用openssl生成RSA和EC密钥/ CSR。 什么是LetsEncrypt CA ? 如何以自动方式发布免费的域验证证书? 如何在仍然使用certbot和acme.sh客户端的情...
申请免费的https证书-Let's Encrypt
热门推荐
程序猿开发日志【学习永无止境】
01-13 1万+
背景 近来,互联网由http向https推进的步伐越来越快,除了各大浏览器之外,搜索引擎也特别的优待https,因此想着跟上步伐把自己的网站也弄成https。 想要弄成https,ssl证书是个绕不过去的坎,各大CA机构的证书都价格不菲,要找个免费又受各大浏览器信任的证书着实不易。 本来考虑StartSSL是个不错的选择,但是最近StartSSL因为自身的不规范操作遭到了各大浏览
acme.sh自动部署域名证书
摘繁华
11-30 2590
acme.sh自动部署域名证书
Rocky配置阿里源并安装openslide
06-01
好的,以下是Rocky配置阿里源并安装openslide的步骤: 1. 修改CentOS的yum源,将默认的yum源修改为阿里云的yum源。可以使用以下命令备份原有的yum源并修改为阿里云的yum源: ``` mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo ``` 2. 安装openslide及其依赖库。可以使用以下命令安装openslide及其依赖库: ``` yum install openslide openslide-tools -y ``` 安装完成后,您可以通过以下命令检查openslide是否安装成功: ``` openslide-show-properties /usr/share/openslide/examples/CMU-1.ndpi ``` 如果成功安装openslide,将会打印出该文件的属性信息。 希望这些步骤可以帮助您成功配置阿里源并安装openslide。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值