一、安装acme.sh
curl https://get.acme.sh | sh
第一次可能会遇到 curl: (6) Couldn't resolve host 'get.acme.sh'
重试一下就可以了。
二、配置nginx
在申请证书时需要验证权限,我们需要在nginx里配置域名和一个访问目录
server {
listen 80;
server_name xxx.xxx.com ;
location / {
root /usr/local/ssl/xxx;
}
}
三、申请签发 SSL 证书
# xxx.xxx.com 为你的域名
# /usr/local/ssl/xxx 验证域名权限路径
acme.sh --issue -d xxx.xxx.com -w /usr/local/ssl/xxx
如果成功了生成一个验证文件如下图只截取了中间一部分
你的证书文件已经申请成功了,并放到了 ~/.acme.sh/
目录里面。
所有的 acme.sh 配置都记录在 ~/.acme.sh/
目录里面,acme.sh 有自动的配置读取,并按域名划分,下次你再次执行的时候,它知道你之前是用的那个目录,只需要告诉它域名就好了。
四、将 SSL 证书安装到网站的路径,并配置好 restart Nginx 的动作
acme.sh --installcert -d xxx.xxx.com \
--keypath /usr/local/ssl/xxx/xxx.key \
--fullchainpath /usr/local/ssl/xxx/xxx.key.pem \
--reloadcmd "systemctl restart nginx"
在执行完成后会有Reload success
在/usr/local/ssl/xxx/文件夹下会生成两个文件以.key和.pem结尾
五、生成 dhparam.pem 文件
openssl dhparam -out /usr/local/ssl/xxx/dhparam.pem 2048
这个文件生成需要几分钟的时间
六、配置nginx
server {
# 新增
listen 443 ssl;
server_name xxx.xxx.com;
ssl_certificate /usr/local/ssl/xxx/xxx.key.pem;
ssl_certificate_key /usr/local/ssl/xxx/xxx.key;
# ssl_dhparam
ssl_dhparam /usr/local/ssl/xxx/dhparam.pem;
# 其他省略
}