acme实用技巧:稳妥的自动更新证书之宝塔面板

已于 2024-04-17 02:04:20 修改
阅读量1.4k 收藏 14
点赞数 27
文章标签: ssl 证书
于 2024-04-16 23:56:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010066597/article/details/137845246
版权

1. 安装 acme.sh

安装很简单, 一个命令:

curl https://get.acme.sh | sh -s email=my@example.com

my@example.com 改成自己的邮箱

安装成功后,会为你自动创建定时任务, 如果快过期了, 需要更新, 则会自动更新证书。

默认情况下,证书将每60天更新一次。

切换默认证书

目前 acme.sh 支持 Let’s Encrypt、Buypass、ZeroSSL、SSL.com 和 Google Public CA,默认使用 ZeroSSL,如果需要更换可以使用下面命令:

#切换 Let's Encrypt
acme.sh --set-default-ca --server letsencrypt
#切换 Buypass
acme.sh --set-default-ca --server buypass
#切换 ZeroSSL
acme.sh --set-default-ca --server zerossl
#切换 SSL.com
acme.sh --set-default-ca --server ssl.com
#切换 Google Public CA
acme.sh --set-default-ca --server google

2. 设置DNS验证

文档:https://github.com/acmesh-official/acme.sh/wiki/dnsapi

以 CloudFlare为例:使用全局API密钥

准备:全局API密钥在 我的个人资料API令牌Global API Key 获得

设置CloudFlare DNS自动验证使用下面命令:

export CF_Key="763eac4f1bcebd8b5c95e9fc50d010b4"  #API密钥
export CF_Email="123456@qq.com"               #登录邮箱

3. 生成证书

如果之前安装过证书,后面加 --force 参数,

acme.sh --issue --dns dns_cf -d xxx.com -d *.xxx.com

成功之后,会在 ~/.acme.sh/目录生成以域名为名称的文件夹,里面包含了证书和各种信息

不要通配符,可以去掉:-d *.xxx.com ,如果有多个子域名,后面加 -d x.xxx.com

--dns dns_cf 表示使用CloudFlare DNS 自动验证

4. 安装证书(重点)

假设:你网站使用的是nginx,使用以下命令

acme.sh --install-cert -d xxx.com -d *.xxx.com \
--key-file       /www/server/panel/vhost/cert/xxx.com/privkey.pem  \
--fullchain-file /www/server/panel/vhost/cert/xxx.com/fullchain.pem \
--reloadcmd     "service nginx force-reload"

使用这条命令时先要生成证书(第三步)

不要通配符,可以去掉:-d *.xxx.com ,如果有多个子域名,后面加 -d x.xxx.com

命令解读

  • --install-cert #安装证书
  • --key-file #指定安装证书密钥路径
  • --fullchain-file #指定安装证书路径
  • --reloadcmd #重新加载nginx生效

为什么要使用那么多参数

  1. 因为acme证书虽然60天更新一次,但是更新的证书路径是:~/.acme.sh/xxx.com

  2. 你的域名指向的证书路径并不是在 ~/.acme.sh/

  3. 不能使用~/.acme.sh/文件夹中的证书文件,它们仅供内部使用,文件夹结构将来可能会更改

  4. 这些参数会被acme保存起来,下次自动更新时就会自动把证书安装到指定的路径,然后帮你重新加载nginx生效

宝塔面板安装证书

你要先知道你的域名证书指向的路径在哪,以宝塔面板为例:

在这里插入图片描述

/www/server/panel/vhost/cert/xxx.com/fullchain.pem
/www/server/panel/vhost/cert/xxx.com/privkey.pem

可以看到宝塔的证书路径是:/www/server/panel/vhost/cert/

如果还没有安装过证书,那么此路径是没有域名证书文件夹的,

宝塔面板默认的证书路径格式是:/www/server/panel/vhost/cert/{域名}

所以,生成证书后,到~/.acme.sh/目录下找到域名文件夹,复制证书

fullchain.cer            #证书

xx.com.key               #密钥

复制到配置ssl证书的地方,
在这里插入图片描述

再查看证书路径:

在这里插入图片描述

最后再执行以下命令,记得修改为你的证书路径

acme.sh --install-cert -d xxx.com -d *.xxx.com \
--key-file       /www/server/panel/vhost/cert/xxx.com/privkey.pem  \
--fullchain-file /www/server/panel/vhost/cert/xxx.com/fullchain.pem \
--reloadcmd     "service nginx force-reload"

不是复制了证书生效了吗,为什么还要执行上面的命令?因为这些参数会被保存起来,之后的自动更新才有效!

5. 签发ECC证书

使用以下命令 (以nginx为例)

acme.sh --install-cert -d xxx.com -d *.xxx.com --keylength ec-256 \
--key-file       /www/server/panel/vhost/cert/xxx.com/privkey.pem  \
--fullchain-file /www/server/panel/vhost/cert/xxx.com/fullchain.pem \
--reloadcmd     "service nginx force-reload"

多了 --keylength ec-256 参数

6.强制更新证书

所有证书将每60天自动更新一次,但你要强制更新的话

acme.sh --renew -d xxx.com --force

或者,对于ECC证书:

acme.sh --renew -d xxx.com --force --ecc

如何停止证书续订

要停止证书的续订,您可以执行以下操作以从续订列表中删除证书:

acme.sh --remove -d xxx.com [--ecc]

不会从磁盘中删除证书/密钥文件。

您可以自己删除相应的目录 (例如 ~/.acme.sh/xxx.com )。

如何升级 acme.sh

您可以将acme.sh更新为最新代码:

acme.sh --upgrade

您还可以启用自动升级:

acme.sh --upgrade --auto-upgrade

然后acme.sh将自动保持最新。

禁用自动升级:

acme.sh --upgrade --auto-upgrade 0
阿甘知识库
关注
  • 27
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
威联通qnap使用acme自动更新证书 qnap-acme.sh
01-29
配合neilepang/acme.sh容器,QTS 5.x可用脚本
acme-companion:为Nginx代理自动生成ACME SSL证书
04-12
它通过ACME协议为代理的Docker容器处理SSL证书的自动创建,更新和使用。 如果使用latest版本,则必读:此项目的v2.0.0版本标记了Docker镜像所使用的ACME客户端从到 此开关会导致某些向后不兼容的更改,因此在更新...
2024年最全acme部署https证书_acme 自动部署证书(1),写得太好了
2401_84931310的博客
05-15 406
这里介绍机构颁发的证书
免费的SSL证书(Let‘s Encrypt / acme)
weixin_45602663的博客
08-31 4717
是一个由非营利性组织(ISRG)提供的免费、自动化和开放的证书颁发机构(CA)。简单的说,借助 Let’s Encrypt 颁发的证书可以为我们的网站免费启用 HTTPS(SSL/TLS)。Let’s Encrypt免费证书的签发/续签都是脚本自动化的,官方提供了几种证书的申请方式方法,快速浏览。官方推荐使用客户端来签发证书,这种方式可参考文档自行尝试,不做评价。我这里直接使用第三方客户端。......
【调试笔记-20240611-Linux-配置 OpenWrt-23.05 支持泛域名 acme 更新】
最新发布
David唐辉的博客
06-11 1592
本文记录在 Windows 10 运行的 QEMU 模拟器上配置OpenWrt-23.05 支持泛域名 acme 更新的调试步骤和解决方法。实验使用的电脑如下:本文记录在 Windows 10 运行的 QEMU 模拟器上配置 OpenWrt-23.05 支持泛域名 acme 更新,解决进行泛域名 SSL 证书申请与更新的问题的调试步骤和解决方法。
超级简单acme证书申请,不用dns配置,自动续期,个人网站首选
liu289747235的专栏
07-31 4119
执行下面的命令会生成证书文件相关的key和pem,改为你自己的路径和文件名。(1)将域名的解析指向服务器,并且服务器开启80端口的http服务。4 证书申请完成后,就可以配置https 443 服务了。这条命令acme将会自动检查更新证书是否过期,自动续期。方式二:通过自定webroot,((2)准备acme需要目录。方式一:通过指定dns。
acme 证书管理
Yampery
11-19 6050
本文主要记录下acme获得 Let’s Encrypt 证书,并实现泛域名证书,简要说明如何配置Nginx,最后简要介绍了如何更新证书
关于宝塔面板提示“upgrade your ACME client to support TLSv1.2 or better”的解决办法
Alex
11-01 348
今天续期SSL证书的时候提示“”,这一般是旧系统情况下TLS版本过低:acme.sh版本低于2.8所引起的,也就是提示:升级你的系统至 TLS 1.2 协议或更高版本。但是国内服务器无法访问Github,所以总是升级失败。本站也是实操多次,终于解决这个问题。
ACME申请SSL证书
qq_35650513的博客
07-19 2390
接下来,我们需要创建一个专门存放证书的文件夹,下文我们安装证书时,就会安装进这个文件夹里面。最后一步,安装至证书文件夹,并重启nginx加载SSL,出现下图代表SSL配置完成。紧接着,我们完善我们上文的nginx配置文件,加上SSL部分的配置信息。我们使用ACME申请域名前,需要先配置nginx文件。好的,接下来就可以申请域名了,出现下图代表申请成功。
利用acme.sh申请SSL证书自动更新
Ikaros的博客
04-18 1419
本文介绍了如何使用 acme.sh 工具申请 SSL 证书,并自动更新证书acme.sh 是一个简单、易用的 ACME 协议客户端,可以帮助用户快速地申请 Let's Encrypt 免费 SSL 证书,并自动为其更新证书,避免证书过期问题。通过本文的步骤,用户可以轻松地获取 SSL 证书,并保持其有效性。
syno-acme:通过acme协议更新群晖HTTPS泛域名证书的自动脚本
05-29
标题中的“syno-acme”是一个专为群晖NAS(Synology NAS)设计的自动脚本,用于通过ACME协议来获取和更新HTTPS泛域名证书。这个脚本可以帮助用户便捷地管理他们的SSL/TLS证书,确保网站或服务始终具有安全的加密连接...
acme-client:用于获取SSL证书的简单可扩展的自动解决方案
04-15
用于获取SSL证书的简单可扩展的自动解决方案。 例子 import * as https from 'https' ; import { AcmeClient } from '@interactivetraining/acme-client' ; new AcmeClient ( { domain : 'my-domain.com' , email ...
acme-webfaction:在webfaction上自动安装和更新letencrypt ssl证书
05-08
acme-webfaction 使用此脚本,您可以使用在webfaction上自动颁发和维护letsentipt ssl证书,而无需执行手动续订。 需要和一个帐户。 有关更多信息,请参见 。它是如何工作的? 使用颁发,安装和更新。 每当证书更新...
SSL证书申请及自动续期(acme.sh)
weixin_42763067的博客
02-15 1009
SSL证书申请及续期的三种方式
ACME.SH 申请SSL证书(免费、自动更新
热门推荐
fyhju1的博客
09-24 1万+
1. 获取DNS密钥 (1)获取域名服务商AccessKey ID及AccessKey Secret 我使用的域名是阿里云,故需要去阿里云RAM管理平台获取: 其他服务商,可以去指定的服务商控制台获取。 阿里云参考文档:如何获取AccessKey ID和AccessKey Secret - 阿里云如何获取AccessKey ID和AccessKey Secret - 阿里云 记住APPID和APPSecret 2. 安装与申请 (1)安装ACME curl https://get.ac
acme自动化---免费SSL证书申请并自动续期
sywdebug的博客
07-19 1万+
上面是重新写的,以下是之前写的,记录了一个问题没有删除,之前写的使用了freeSSL,但是使用acme.sh其实是不需要使用其他的配合,之前也是先接触到freeSSL,所以按照freeSSL教程做的,实际上使用其他的还可能会产生其他不太好的问题,之前有记录,但是这次重写删掉了。上去之后看一眼,cer 是证书文件,key 是私钥文件,都没有更新,变得是 csr 文件,这个文件是申请前创建的,与这个无关,但是可以看出是有自动续期,但是没有续期成功。
宝塔网站开启反向代理时无法申请和自动续签SSL证书的解决办法
qq_45576664的博客
04-15 4235
会产生这个问题的原因很简单,我们在申请证书时,ca证书商会获取域名对应的ip,当开启反向代理后,ca证书商无法获取到我们申请域名的真实ip,所以开启反向代理时无法申请SSL证书,续签SSL证书会验证失败。
ACME网站证书自动化保姆级教程
skyxc233的博客
06-09 2912
使用 GitHub Actions 自动申请与部署 ACME SSL 证书首先请在本地(或自己的服务器上)成功使用 acme.sh 的 DNS-01 验证方式成功申请一次证书。这个过程包括:- 向 CA 注册 ACME 账户(如
宝塔续签SSL证书脚本
一个专注于技术研究创新的程序员
04-12 1466
1.我们如果用宝塔部署网站签采用Let’s Encrypt签的证书SSL有效期是90天,到了就会过期,一般我们会手动去点击续签即可。2.我们还可以通过自动化任务创建自动续签的脚本。宝塔续签SSL证书脚本。
acme.sh 如何定期自动更新证书
07-04
要定期自动更新 acme.sh 生成的证书,你可以使用 cron 作业来实现。以下是一些步骤来设置自动更新: 1. 首先,确保你已经安装了 acme.sh。你可以在 acme.sh 的 GitHub 仓库中找到安装说明。 2. 打开终端,运行 `crontab -e` 命令来编辑 cron 作业。 3. 在打开的文件中,添加以下一行内容: ``` 0 0 * * * /path/to/acme.sh --cron --home /path/to/.acme.sh > /dev/null ``` 这将在每天午夜(0 点)运行 acme.sh 的 `--cron` 命令,以检查证书是否需要更新,并自动进行更新。请将 `/path/to/acme.sh` 和 `/path/to/.acme.sh` 替换为你 acme.sh 的实际路径。 4. 保存并关闭文件。 这样,每天午夜时,cron 作业将自动运行 acme.sh,并检查是否有证书需要更新。如果有需要更新的证书acme.sh 将自动进行更新操作。 请注意,这里假设你已经正确配置了 acme.sh 并生成了有效的证书。如果你还没有完成这些步骤,请先参考 acme.sh 的文档进行配置和生成证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值