acmev2怎么用_lua-resty-acme: ACMEv2 客户端和 Let's Encrypt 证书的自动化管理

最新推荐文章于 2024-06-24 09:48:47 发布
最新推荐文章于 2024-06-24 09:48:47 发布
阅读量430 收藏
点赞数
文章标签: acmev2怎么用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34669783/article/details/111972106
版权

相比于现有实现,不需要安装任何第三方程序或者 C 扩展,所有依赖均为 Lua 和 FFI 实现。

安装

使用 opm:

opm install fffonion/lua-resty-acme

opm 中没有 luaossl 库,所以这种安装使用的是基于 FFI 的 Openssl 后端;需要 OpenResty 链接了大于等于 1.1 版本的 OpenSSL。

如果有完整的编译工具链,可以使用 luarocks 安装,需要安装 OpenSSL 的头文件:

luarocks install lua-resty-acme

使用

以 /etc/openresty 目录为例,如果目录不存在,请自行修改。

生成一个账户密钥

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out /etc/openresty/account.key

生成一个默认证书

openssl req -newkey rsa:2048 -nodes -keyout /etc/openresty/default.pem -x509 -days 365 -out /etc/openresty/default.key

在 Nginx 配置的 http 节插入以下内容

resolver 8.8.8.8;

lua_shared_dict acme 16m;

lua_shared_dict autossl_events 128k;

init_by_lua_block {

require("resty.acme.autossl").init({

-- setting the following to true

-- implies that you read and accepted https://letsencrypt.org/repository/

tos_accepted = true,

-- uncomment following for first time setup

-- staging = true,

-- uncomment folloing to enable RSA + ECC double cert

-- domain_key_types = { 'rsa', 'ecc' },

account_key_path = "/etc/openresty/account.key",

account_email = "此处填写邮箱",

})

}

init_worker_by_lua_block {

require("resty.acme.autossl").init_worker()

}

# required to verify Let's Encrypt API

lua_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;

lua_ssl_verify_depth 2;

CentOS/Fedora 等系统的根证书在 /etc/ssl/certs/ca-bundle.crt ,请根据实际情况修改 lua_ssl_trusted_certificate。

首次配置时,建议将 init_by_lua_block 中的 staing = true 取消注释,以防错误过多触发限流;测试通过后再加回注释使用生产 API。

在需要使用证书的 server 节插入

server {

server_name example.com;

# fallback certs, make sure to create them before hand

ssl_certificate /etc/openresty/default.pem;

ssl_certificate_key /etc/openresty/default.key;

ssl_certificate_by_lua_block {

require("resty.acme.autossl").ssl_certificate()

}

location /.well-known {

content_by_lua_block {

require("resty.acme.autossl").serve_http_challenge()

}

}

}

配置完成后,reload nginx。

福利:

# RSA

echo q |openssl s_client -connect 随机子域名.acme.yooooo.us -port 8443 -cipher ECDHE-RSA-AES128-GCM-SHA256|openssl x509 -noout -text|grep -P "Public Key Algorithm|After"

# ECC

echo q |openssl s_client -connect 随机子域名.acme.yooooo.us -port 8443 -cipher ECDHE-ECDSA-AES128-GCM-SHA256|openssl x509 -noout -text|grep -P "Public Key Algorithm|After"

首次请求后等 10 秒钟,即可收到新证书加密的链接

欢迎讨论和提供建议!

锐士无双
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssl证书acme自动化续约
qq_28299327的博客
10-19 306
2.去freessl申请一个免费的ssl证书,拿到记录值去服务商域名配置一下, 这一步是必须的配置后如果不需要自动续约那么去下载对应的证书文件就可以了 因为是自动续约那么还需要在服务器安装自动续约的程序, 根据官方教程直接安装就行, 安装后会在你指定的文件夹下生成对应的证书, nginx配置文件使用就可以,1.如果公司不差钱, 并且域名服务商支持证书服务那么直接提申请, 公司就俩字省(费)事(钱) , 对兼职运维的我来说就很友好。新项目需要支持https, 需要配置ssl证书,而且还需要免费的。
多域名自动化生成证书及OpenResty使用 lua-resty-auto-ssl 配置证书
11-22 1404
安装luarocks。
推荐开源项目:Acmesmith - 多服务器ACME v2客户端管理工具
最新发布
gitblog_00082的博客
06-24 342
推荐开源项目:Acmesmith - 多服务器ACME v2客户端管理工具 项目地址:https://gitcode.com/sorah/acmesmith 项目简介 Acmesmith 是一个专为多服务器环境设计的高效ACME v2客户端,能够安全地在云端存储证书和密钥,并实现证书的有效部署。这个工具与知名的Let's Encrypt兼容,不仅易于安装和使用,还支持多种云服务,如AWS S3和R...
acmev2怎么用_Let's Encrypt 发布的 ACME v2 现已正式支持通配符证书,申请方式了解一下...
weixin_42513546的博客
12-24 754
通配符证书只能通过 ACMEv2 获得。为了将 ACMEv2 用于通配符或非通配符证书,你需要一个已更新且支持 ACMEv 的客户端Let's Encrypt 希望所有客户和订户转换为 ACMEv2,尽管 ACMEv1 API 还没有“报废”。另外,通配符域必须使用 DNS-01 质询类型进行验证。这表明你需要修改 DNS TXT 记录才能演示对域的控制以获得通配符证书。更多有关 ACME v2...
ACME v2证书自动化快速入门
qq_39084128的博客
05-17 1454
ACMEv2证书自动化快速入门 | SSL证书申请
acmev2怎么用_Let's Encrypt 支持配符证书ACME v2 协议
weixin_29011395的博客
01-14 393
旨在让每个网站都启用 HTTPS 加密的 Let's Encrypt CA 宣布支持 ACME v2 协议和通配符证书,打破在Web上采用HTTPS的障碍,让每个网站更轻松地获取和管理证书ACMEv21.9k是ACME协议的更新版本,它已通过IETF标准程序,同时考虑到行业专家和其他组织可能希望在某天使用ACME协议进行证书颁发和管理的反馈意见。通配符证书2.3k允许您使用单个证书来保护域的所有...
lua-resty-dns-client:Lua DNS客户端,负载平衡器和实用程序库
05-01
Lua库包含一个dns客户端,几个实用程序和一个负载平衡器。 该模块目前仅适用于OpenResty,并建立在库的顶部 特征 解析A,AAAA,CNAME和SRV记录,包括端口 解析/etc/hosts 解析/resolv.conf并应用LOCALDOMAIN和RES_...
lua-resty-http:用于OpenResty ngx_luaLua HTTP客户端cosocket驱动程序
02-03
`lua-resty-http` 是一个针对 `OpenResty` 的 `ngx_lua` 模块的 Lua 实现的 HTTP 客户端,它基于 cosocket API 提供了高效、灵活的 HTTP 请求功能。这个库允许你在 `OpenResty` 的 Lua 脚本中发送 HTTP 请求,从而...
lua-resty-auto-ssl:使用Let's Encrypt在OpenRestynginx内即时(免费)进行SSL注册和更新
02-03
《使用lua-resty-auto-ssl在OpenResty与Nginx中实现Let's Encrypt SSL证书自动化》 在当今的互联网环境中,SSL证书对于网站的安全性和用户信任度至关重要。Let's Encrypt是一个免费、自动、开放的证书颁发机构,它...
lua-resty-upstream-healthcheck:Pure Lua中Nginx上游服务器的运行状况检查器
05-13
lua-resty-upstream-healthcheck-Nginx上游服务器的运行状况检查器 目录 作者 版权和许可 也可以看看 地位 该库仍在早期开发中,但已经可以投入生产了。 概要 http { lua_package_path "/path/to/lua-resty-...
lua-resty-jwt:JWT为伟大的Openresty
02-03
标题"lua-resty-jwt:JWT为伟大的Openresty"表明了本文将探讨如何使用lua-resty-jwt库在Openresty(一个基于Nginx和Lua的高性能Web平台)中处理JSON Web Tokens (JWT)。JWT是一种安全的身份验证和授权机制,常用于...
ACMESharpCore:NET标准的ACME v2客户端库(让我们加密)
05-10
ACMESharp核心 NET标准的ACME客户端库(让我们加密) 测验 组件/测试类型 Linux 视窗 基本单元测试 SimplePKI单元测试 MockServer单位苔丝 整合测试 配套 成分 稳定释放 抢先体验 托管在 托管在 ACMESharpCore客户端库 加密支持库 SimplePKI库 概述 该库最初是ACMESharp客户端库从.NET Framework到.NET Standard 2.0的端口。 但是,现在的重写实际上比原始重写更完整,包括ACME规范中遗漏的操作,并支持该规范的最新版本。 请查看特定于库的自述文件,以获取详细信息,以了解它们的发展过程。 整理了两个有用的示例,以演示如何使用客户端库为ASP.NET Core应用程序实现CLI工具和自动证书安装。 更多即将到来... 请注意: 如果您有兴趣在.NET上下文中使用Let'
acme:用于ACME v2(RFC8555)的Go客户端库实现
05-05
鸡蛋取样器/顶针 关于 eggsampler/acme是 (以前为ACME v2)的Go客户端库实现。 该库可以与“证书颁发机构(CA)”一起使用,也可以与其他符合ACME的CA(例如。 该库旨在在暴露的目录端点上提供零外部依赖项包装,并以易于使用的结构提供对象。 要求 至少需要1.11的Go版本,因为此存储库旨在作为Go模块导入。 用法 只需将模块导入到项目中, import "github.com/eggsampler/acme/v3" 注意最后的/v3主版本。 由于模块的功能方式,这是go.mod文件和最新的git repo 标签中表示的主要版本。 仍然使用acme包名称导出并调用所有函数。 例子 examples / certbot目录中提供了一个的简单示例。 该代码演示了帐户注册,新订单提交,解决挑战,完成订单和获取已颁发的证书链。 examples / autocert
ACME网站证书自动化保姆级教程
skyxc233的博客
06-09 2959
使用 GitHub Actions 自动申请与部署 ACME SSL 证书首先请在本地(或自己的服务器上)成功使用 acme.sh 的 DNS-01 验证方式成功申请一次证书。这个过程包括:- 向 CA 注册 ACME 账户(如
FreeSSL + ACME自动化续期域名SSL证书(支持泛域名)
_TMOON_的博客
06-07 1695
配置域名SSL证书,通过FreeSSL + ACME自动化续期(支持泛域名)
acme自动化---免费SSL证书申请并自动续期
热门推荐
sywdebug的博客
07-19 1万+
上面是重新写的,以下是之前写的,记录了一个问题没有删除,之前写的使用了freeSSL,但是使用acme.sh其实是不需要使用其他的配合,之前也是先接触到freeSSL,所以按照freeSSL教程做的,实际上使用其他的还可能会产生其他不太好的问题,之前有记录,但是这次重写删掉了。上去之后看一眼,cer 是证书文件,key 是私钥文件,都没有更新,变得是 csr 文件,这个文件是申请前创建的,与这个无关,但是可以看出是有自动续期,但是没有续期成功。
一键自动化脚本使用acme.sh部署RSA、ECC双证书,实现自动续期+钉钉告警
代码讲故事
12-21 844
一键自动化脚本使用acme.sh部署RSA、ECC双证书,实现自动续期+钉钉告警。 ECC证书 相比 RSA证书, 密钥短了很少,但安全性还是有保证,ECC 是Elliptic curve cryptography的简写, 是一种建立公开密钥加密的算法,基于椭圆曲线。由于其密钥较短,运算速度较快,所以渐渐开始在一些网站上使用。但是由于有些老旧 浏览器/系统 不支持ECC证书,为了使他们能够访问,我们还得提供一份 RSA证书
acme申请泛域名SSL证书
夜闌靜 風也清
02-20 1521
网上有太多的例子教程了,在这里只做一个简单的记录以便自己方便查询。 以下以阿里云为例 1. 登录阿里云管理后台创建Accesskey,记录Accesskey ID和Access Key Secret以备用。 2. 下载acme和设置access key。 安装 curl https://get.acme.sh | sh 在/root/.acme.sh下创建account.conf...
Let's Encrypt 发布 ACME v2,开始测试通配符证书
陈海峰的博客
01-09 4430
免费数字证书颁发机构 Let's Encrypt 发布了 ACME v2 协议 API 端点,正式宣布开始测试支持签发通配符数字证书ACME V2 版 API 接口。 可以使用以下的目录 URL 开始为你的客户端测试对于 ACME v2 的支持: https://acme-staging-v02.api.letsencrypt.org/directory 要注意的是,由于临时的环
lua-resty-soap的下载地址
07-25
在该页面上,你可以找到关于如何安装和使用`lua-resty-soap`的详细说明。 你可以通过以下方式将`lua-resty-soap`添加到你的OpenResty项目中: 1. 下载`lua-resty-soap`的源码: ``` git clone ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值