使用自动更新https证书, 进行配Nginx学习笔记 (2021.02.08)

自动更新证书, 进行配Nginx学习笔记 (2021.09.26)

使用开源的 acme.sh

1.0 安装 acme

[root@VM-0-9-centos]# wget -O -  https://get.acme.sh | sh -s email=my@example.com

在官网成功安装的方式

如果下载成功, 下载到的位置是/root/.acme.sh/

在线安装失败的方式

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zxzXALlz-1612798725754)(https://s3.ax1x.com/2021/01/30/yFEnL8.jpg)]

我是通过下载源码包https://github.com/acmesh-official/acme.sh/tags , 获取其 acme.sh 文件上传上去服务器进行配置证书的

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YEBmyKM6-1612798725757)(https://s3.ax1x.com/2021/01/30/yFEfTe.jpg)]

1.1 配置安装 (在线成功无需)

[root@VM-0-9-centos home]# ./acme.sh --install  --home ~/zhihao_myacme --config-home ~/zhihao_myacme/data --cert-home  ~/zhihao_mycerts --accountemail  "zhihao@objectmail.com" --accountkey  ~/zhihao_myaccount.key --accountconf ~/zhihao_myaccount.conf

您不需要全部设置它们，只需设置您关心的那些。

说明：

• --home是要安装的自定义目录acme.sh。默认情况下，它安装到~/.acme.sh
• --config-home是一个可写文件夹，acme.sh将在其中写入所有文件（包括cert / keys，configs）。默认情况下--home
• --cert-home是自定义的目录，用于保存您颁发的证书。默认情况下，它保存在中--config-home。
• --accountemail是用于向Let’s Encrypt注册帐户的电子邮件，您将在此处收到续订通知电子邮件。默认为空。
• --accountkey是保存您帐户私钥的文件。默认情况下，它保存在中--config-home。
• --useragent 是用于发送到“让我们加密”的用户代理标头值。

安装完成后: 会生成在/root 目录下

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0vglk2PK-1612798725758)(https://s3.ax1x.com/2021/01/30/yFVyNQ.jpg)]

然后看一下有没有生效。

[root@VM-0-9-centos zhihao_myacme]# acme.sh -h
https://github.com/acmesh-official/acme.sh
v2.8.8
Usage: acme.sh <command> ... [parameters ...]
Commands:
  -h, --help               Show this help message.
  -v, --version            Show version info.
  --install                Install acme.sh to your system.
  --uninstall              Uninstall acme.sh, and uninstall the cron job.
  --upgrade                Upgrade acme.sh to the latest code from https://github.com/acmesh-official/acme.sh.
  --issue                  Issue a cert.
  --deploy                 Deploy the cert to your server.
  -i, --install-cert       Install the issued cert to apache/nginx or any other server.
  -r, --renew              Renew a cert.
  --renew-all              Renew all the certs.
  --revoke                 Revoke a cert.
  --remove                 Remove the cert from list of certs known to acme.sh.

2. 生成证书

acme.sh 实现了 acme 协议支持的所有验证协议. 一般有两种方式验证: http 和 dns 验证.

2.1. http 方式需要在你的网站根目录下放置一个文件, 来验证你的域名所有权,完成验证. 然后就可以生成证书了.

acme.sh  --issue  -d mydomain.com -d www.mydomain.com  --webroot  /home/wwwroot/mydomain.com/

只需要指定域名, 并指定域名所在的网站根目录. acme.sh 会全自动的生成验证文件, 并放到网站的根目录, 然后自动完成验证. 最后会聪明的删除验证文件. 整个过程没有任何副作用.

如果你用的 apache服务器, acme.sh 还可以智能的从 apache的配置中自动完成验证, 你不需要指定网站根目录:

acme.sh --issue  -d mydomain.com   --apache

如果你用的 nginx服务器, 或者反代, acme.sh 还可以智能的从 nginx的配置中自动完成验证, 你不需要指定网站根目录:

acme.sh --issue  -d mydomain.com   --nginx

注意, 无论是 apache 还是 nginx 模式, acme.sh在完成验证之后, 会恢复到之前的状态, 都不会私自更改你本身的配置. 好处是你不用担心配置被搞坏, 也有一个缺点, 你需要自己配置 ssl 的配置, 否则只能成功生成证书, 你的网站还是无法访问https. 但是为了安全, 你还是自己手动改配置吧.

如果你还没有运行任何 web 服务, 80 端口是空闲的, 那么 acme.sh 还能假装自己是一个webserver, 临时听在80 端口, 完成验证:

acme.sh  --issue -d mydomain.com   --standalone

2.2 个人使用nginx服务器方式

2.2.1 配置nginx的域名配置文件

编辑: /etc/nginx/nginx.conf 文件, 增加节点, 配置可以通过HTTP_域名方式访问到nginx, 然后检测配置, 之后重新加载nginx

server {
	listen       80;
    listen  [::]:80;
	# 对应的域名
	server_name zhihao.plus;
	root  /usr/share/nginx/html;
	location / {
        }
}

检查配置是否有误 sudo nginx -t , 修改 Nginx 配置后，重新加载 sudo systemctl reload nginx

2.2.2 自动寻找配置文件来进行签发

[root@VM-0-9-centos zhihao_myacme]# acme.sh --issue -d zhihao.plus --nginx

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-I6gDiJCQ-1612798725761)(https://s3.ax1x.com/2021/02/08/yam2E4.jpg)]

3. copy/安装 证书

前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方.

注意, 默认生成的证书都放在安装目录下: ~/.acme.sh/, 请不要直接使用此目录下的文件, 例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件. 这里面的文件都是内部使用, 而且目录结构可能会变化.

正确的使用方法是使用 --install-cert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:

Apache example (省略)

Nginx example(拷贝证书):

acme.sh --install-cert -d example.com \
--key-file       /path/to/keyfile/in/nginx/key.pem  \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd     "service nginx force-reload"

(一个小提醒, 这里用的是 service nginx force-reload, 不是 service nginx reload, 据测试, reload 并不会重新加载证书, 所以用的 force-reload)

Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer ，而非 /etc/nginx/ssl/<domain>.cer ，否则 SSL Labs 的测试会报 Chain issues Incomplete 错误。

--install-cert命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效.

详细参数请参考: https://github.com/Neilpang/acme.sh#3-install-the-issued-cert-to-apachenginx-etc

值得注意的是, 这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用.

3.1 个人使用Nginx拷贝证书方式

3.1.1 创建存放证书的文件夹

/usr/local/zhihao_SSL/fullchain 与 /usr/local/zhihao_SSL/keyfile

3.1.2 copy证书

[root@VM-0-9-centos zhihao_myacme]# acme.sh --install-cert -d zhihao.plus \
--key-file  /usr/local/zhihao_SSL/keyfile/key.pem \
--fullchain-file /usr/local/zhihao_SSL/fullchain/cert.pem \
--reloadcmd  "service nginx force-reload"

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UsJJJGz2-1612798725762)(https://s3.ax1x.com/2021/02/08/yanZ2q.jpg)]

3.1.3 配置Nginx 的HTTPS配置

server {
	#ssl 需要监听443端口 
	listen 443 ssl;
	# CA证书对应的域名
	server_name zhihao.plus;
	# 服务器证书密匙绝对路径
	ssl_certificate  /usr/local/zhihao_SSL/fullchain/cert.pem; 
	# 服务器端证书key绝对路径 
	ssl_certificate_key  /usr/local/zhihao_SSL/keyfile/key.pem;
	# session超时
    ssl_session_timeout 5m;
    # 协议类型
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    # ssl算法列表 
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    #  是否 服务器决定使用哪种算法  on/off   TLSv1.1 的话需要开启
    ssl_prefer_server_ciphers on;

    location ^~ /csdn {
        # 请注意此处端口号不能与虚拟主机监听的端口号一样（也就是nginx listen监听的端口）
		rewrite ^(.*) https://me.csdn.net/weixin_44600430;
		proxy_redirect off;
		proxy_set_header Host $host;
		proxy_set_header X-Forwarded-Proto $scheme;
		proxy_set_header X-Real-IP $remote_addr;
		#后端的Web服务器可以通过X-Forwarded-For获取用户真实IP
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
# 如果用户通过 http 访问 直接重写 跳转到 https 这个是一个很有必要的操作
server {
	listen       80;
    listen  [::]:80;
	# CA证书对应的域名
	server_name zhihao.plus;
    # rewrite ^/(.*)$ https://zhihao.plus:443/$1 permanent;
}

检查配置是否有误 sudo nginx -t , 修改 Nginx 配置后，重新加载 sudo systemctl reload nginx, 进行访问

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-doxx8ECw-1612798725763)(https://s3.ax1x.com/2021/02/08/yauKSI.jpg)]

4. 更新证书

目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.

或者输入定时命令查看crontab -l

[root@VM-0-9-centos zhihao_myacme]# crontab -l
45 0 * * * "/root/myacme"/acme.sh --cron --home "/root/myacme" --config-home "/root/myacme/data" > /dev/null

强制更新

[root@VM-0-9-centos zhihao_myacme]# acme.sh --renew -d zhihao.com --force  

5. 更新 acme.sh

目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.

升级 acme.sh 到最新版 :

acme.sh --upgrade

如果你不想手动升级, 可以开启自动升级:

acme.sh  --upgrade  --auto-upgrade

之后, acme.sh 就会自动保持更新了.

你也可以随时关闭自动更新:

acme.sh --upgrade  --auto-upgrade  0

6. 停止更新证书

查看证书列表

acme.sh --list

停止 Renew

acme.sh --remove -d zhihao.com [--ecc]

之后手动把目录下的证书移除就行。

1