Nginx 实现全站 HTTPS（ HTTP+DNS 通配符证书)

前段时间因需求在阿里云上搭建过一次基于let's encrypt的nginx免费通配符证书，当时因为有阿里云的API接口，搭建的比较顺利，最近由于公司内部测试需要，测试机没有类似阿里云之类的API接口，在搭建的时候发现http-01的方式没法配置通配符证书，最后在github上找到了一种方法，所以现在就把两种方式都回顾下。

acme原理：https://blog.csdn.net/canghaiguzhou/article/details/79945001

ACME 协议支持的验证协议一般有两种：

http 验证：必须有可以正常运行的服务器和公网 IP。验证时，需要在你的网站根目录下放一个文件来验证域名所有权，完成验证后就可以生成证书了。
dns 验证：不需要服务器和公网 IP。只需要为域名添加一条 txt 解析记录来验证域名所有权。

通过 acme.sh 获取通配符域名证书

acme.sh 的所有相关文件（包括安装文件、申请到的证书等）都在 ~/.acme.sh/ 这一个目录中。

安装 acme.sh
在线安装
curl https://get.acme.sh | sh
或者：
wget -O - https://get.acme.sh | sh

从 Git 安装
git clone https://github.com/Neilpang/acme.sh.git
cd ./acme.sh
./acme.sh --install

安装过程包含 3 个动作：

创建并复制 acme.sh 到你的家目录 $HOME：~/.acme.sh/。所有的证书都会放到这个目录中
创建别名： acme.sh=~/.acme.sh/acme.sh
创建每天的定时任务检查证书，如果快要到期了会自动更新
定时任务示例：

0 "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null

验证
安装完成后，需要重新打开终端，acme.sh 命令才能生效

第一种DNS方式：
如果域名解析商提供 API，则可以自动借助这个 API 通过工具添加 txt 记录完成验证。

例如阿里云：
首先我们要把acme的配置替换成从阿里云获取的API参数
vim .acme.sh/account.conf

SAVEDAliKey='XXXXXX'
SAVEDAliSecret='XXXXXX'

修改完配置后，执行命令：
acme.sh --issue --dns dns_ali -d mydomain.com -d .mydomain.com

acme.sh 会保存 API 参数并生成定时任务，用于每天验证证书是否即将过期，并及时更新。下面是通过 crontab -e 看到的新增的定时任务：
16 0 "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

证书生成后，需要把证书 copy 到真正需要用它的地方。

默认生成的证书都放在安装目录 ~/.acme.sh/ 下，但是请不要直接使用。而是使用 --installcert 命令安装证书。

使用 --installcert 命令安装证书

使用 --installcert 命令安装证书时，证书文件会被复制到相应的位置：

acme.sh --installcert -d mydomain.com \
--key-file /etc/nginx/ssl/mydomain.key \
--fullchain-file /etc/nginx/ssl/fullchain.cer \
--reloadcmd "systemctl reload nginx.service"

配置nginx
Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer，而非 /etc/nginx/ssl/<domain>.cer，否则 SSL Labs 的测试会报 Chain issues Incomplete 错误

server{
listen 443 ssl;
server_name mydomain.com;
ssl on;
ssl_certificate /etc/nginx/ssl/fullchain.cer;
ssl_certificate_key /etc/nginx/ssl/mydomain.key;
ssl_session_timeout 5m;
}

第二种http方式：
这种方式如果只是单独一个或者多个域名，直接执行命令即可，后边呢的webroot是存放证书的目录，可以手动修改增加

acme.sh --issue -d mydomain.com -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/

如果没有运行任何 web 服务，80 端口是空闲的，那么 acme.sh 可以运行为 webserver，临时监听 80 端口，完成验证：

acme.sh --issue -d mydomain.com --standalone

这里我在申请证书的时候遇到过一个问题，域名的公网IP+80其实是映射到我内网的IP+8080端口，但是我误认为是内网的80端口，所以在nginx的配置中我监听了80端口，导致验证文件一直下载不下来，最后修改了nginx监听8080端口后解决。
报错信息：
http://mydomain/.well-known/acme-challenge/YdvMFXcNTtNkZGWop-ZOXYSFR5qNlTn8AQvGhGg9Yww not found

问题解决后，发现申请下来的证书无法支持通配符，最终在github上找到了通过域名别名的解决方式。

http方式 支持https通配符免费证书:

首先，我们需要在DNS服务器上设置我们的域名别名：
_acme-challenge.mydomain.cn CNAME到 _acme-challenge.alidomain.cn

这里我们做的操作是把要申请证书的域名CNAME到原先可以通过API接口申请通配符的域名上，前边的_acme-challenge是必须要加的
而且我也还要配置.acme.sh/account.conf下 原先域名的key，完成后执行操作。

acme.sh --issue -d mydomain.cn --challenge-alias alidomain.cn --dns dns_ali -d *.mo-sky.cn
如果提示 可以加上 --force 参数

参考文章：https://github.com/Neilpang/acme.sh/wiki/DNS-alias-mode

转载于:https://blog.51cto.com/alca0126/2367157