acme 证书管理

最新推荐文章于 2024-05-13 10:31:48 发布
最新推荐文章于 2024-05-13 10:31:48 发布
阅读量6k 收藏 8
点赞数
分类专栏: 运维 文章标签: acme.sh https nginx ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wizard_rp/article/details/121428266
版权

acme 证书管理
参考:官方文档

1. 证书申请

1.1 acme安装

  1. 命令行直接自动下载安装
curl https://get.acme.sh | sh
  1. 手动下载安装

网络不好可以手动下载上传,下载最新的acme安装包
https://github.com/Neilpang/acme.sh/archive/master.tar.gz
如果没有安装 socat,安装socat(可选)

yum install socat -y

安装

tar -zvxf acme.sh-master.tar.gz
cd acme.sh-master
./acme.sh --install

1.2 注册账户

acme.sh --register-account -m 邮箱地址

acme现在使用ZeroSSL,不注册账户会提示如下错误:
[Fri Nov 19 15:03:11 CST 2021] No EAB credentials found for ZeroSSL, let’s get one
[Fri Nov 19 15:03:11 CST 2021] acme.sh is using ZeroSSL as default CA now.

1.3 DNS 管理API访问配置

我这里使用的是阿里云,其他类似,参考:官方文档

  1. 用户头像下拉选择 AccessKey 管理
    在这里插入图片描述
  2. 创建子账户

AccessKey可以调用OpenApi进行一些操作,为了安全,使用创建个子用户,授予DNS管理权限即可。
在这里插入图片描述

  1. 创建并授权

创建用户,完成之后,会自动分配AccessKeyID 和 AccessKeySecret,复制下来保存
创建账户


授权
我这里已经选择过了,所以是灰色的,未选择点击 管理云解析(DNS)的权限放右边即可。
账户授权

1.4 申请证书

1.4.1 添加环境变量

回到服务器
添加上面的的key和Secret到系统环境变量,追加在~/.bashrc文件中即可,在申请证书的时候,acme 会保存到账户信息中

# 编辑文件
vim ~/.bashrc
export Ali_Key="AccessKeyID" 
export Ali_Secret="AccessKeySecret"
# 保存退出,并使环境变量生效
source ~/.bashrc

1.4.2 申请泛域名

acme.sh --issue --dns dns_ali -d xxx.com -d '*.xxx.com'

2. Nginx配置

主要是这三行
这里我是用了软连接放着了nginx配置下,真实地址如下:
key.pem => /root/.acme.sh/xxx.com/xxx.com.key
cert.pem => /root/.acme.sh/xxx.com/fullchain.cer

ssl_certificate /etc/nginx/xxx.com/fullchain/cert.pem;
ssl_certificate_key /etc/nginx/xxx.com/key.pem;
ssl_trusted_certificate /etc/nginx/xxx.com/fullchain/cert.pem;

server {
  listen 80;
  server_name www.xxx.com xxx.com;
  rewrite ^(.*) https://$host$1 permanent;
}

server {
  # 后来版本这样配置,以前是ssl on; 会提示警告:
  # nginx: [warn] the "ssl" directive is deprecated
  listen 443 ssl;
  server_name www.xxx.com xxx.com;

  gzip on;
  gzip_min_length 1k;
  gzip_comp_level 9;
  gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;
  gzip_vary on;
  gzip_disable "MSIE [1-6]\.";

  ssl_certificate /etc/nginx/xxx.com/fullchain/cert.pem;
  ssl_certificate_key /etc/nginx/xxx.com/key.pem;
  ssl_trusted_certificate /etc/nginx/xxx.com/fullchain/cert.pem;
  ssl_session_timeout 5m;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
  ssl_prefer_server_ciphers on;
  root /var/www/static-web/xxxxxx;
  index index.html;
  location ~* ^.+\.(jpg|jpeg|gif|png|ico|css|js|pdf|txt){
    root /var/www/static-web/xxxxxx;
  }
}

3. 更新证书

证书有效期3个月,正常通过脚本启动会自动添加定时任务

25 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

如果更新失败或者发现证书失效,则需要更新acme

  1. 自动更新
acme.sh --upgrade
  1. 手动更新,参考第一节acme安装。


  1. 最后执行更新证书命令
acme.sh --cron --force --debug 2


Yampery
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
acme 签发失败或者续签失败,出现No EAB credentials found for ZeroSSL
chenguangwei的专栏
11-18 7300
acme 签发失败或者续签失败,出现No EAB credentials found for ZeroSSL
注册HTTPS证书
MrTreebook的博客
07-09 540
加密方式可以自己去查一下,我用的时ec-256(256位ecc椭圆曲线)但是我们应该注意到有三行红字,我们按照要求安装socat。大家申请时需要把域名换成自己的域名。上述三行命令就不多解释了。看一下我们的网站是否可用。可以看到已经安装成功了。
安装Trojan时,报错“Can not resolve _eab_id”
最新发布
qq_21761267的博客
05-13 351
所以,需要删除所有缓存,“rm -rf ~/.acme.sh”手动生成对应证书,在指令上添加 - - email 选项,以下为执行成功的日志。如果sh脚本没有指定accountconf文件,则会自动生成一个email地址,用作调用网站API时使用的email地址。在安装trojan时需要在get.acme.sh上申请证书,使用一键脚本时,一直报错。可以看到系统自动生成email=test@*********。(使用的是中文的句号)这里的eab值的是email地址。
使用FreeSSL申请SSL泛证书(*.libai.com)并自动续签(ACME)
qq_46264836的博客
03-05 1683
最近在研究关于acme.sh申请免费证书和自动续签,在此记录下遇到的问题,本文主要是使用nginx的方式申请证书
什么是自动证书管理环境(ACME)
ITmoster的博客
10-25 379
自动证书管理环境 (ACME) 是一种通信协议,无需任何人工干预即可自动颁发、安装、续订和吊销 PKI 证书ACME 自动执行证书颁发机构 (CA) 与托管 PKI 证书的 Web 服务器或设备之间的交互。
【安装、更新过期acme证书
qq_44742036的博客
10-05 1214
安装以及更新acme证书
acme.sh自动配置免费SSL泛域名证书并续期(Aliyun + Debian + nginx
liuweilhy的博客
12-02 4006
本文介绍在Linux Debian系统下使用acme.sh配置Let's Encrypt免费SSL证书及泛域名证书并自动续期的方法,简洁方便。替代以前使用Certbot自动配置SSL证书时,需要安装snap管理器再安装Certbot,期间还要去找AliDNS脚本的繁琐方法。
acmebot:使用ACME协议的证书管理器机器人
05-10
ACME协议自动证书管理器。 该工具类似于ACFF的Certbot,使用ACME协议从证书颁发机构获取并维护证书。 当使用Let's Encrypt开发和测试该工具时,该工具应可使用ACME协议与任何证书颁发机构一起使用。 特征 此工具不...
ACME-PS:支持ACME v2证书管理的PowerShell模块
05-13
该模块尝试为您提供所有必要的手段,以使您能够编写使用ACME v2服务创建证书的脚本或模块。 通过Powershell-Gallery 下载模块 重大变化 这是模块持续开发过程中发生的重大更改的列表 版本1.2 如果由CA颁发,则1.2...
labca:供内部(实验室)使用的私有证书颁发机构,基于来自Let's Encrypt(tm)的开源ACME自动证书管理环境实现
05-07
供内部(实验室)使用的私有证书颁发机构,基于来自Let's Encrypt(tm)的开源ACME自动证书管理环境实现。 目录 背景 越来越多的网站和应用程序通过HTTPS提供服务,其中浏览器和Web服务器之间的所有流量都经过加密...
certes:自动证书管理环境(ACME)协议的客户端实现
05-22
目的是提供一种易于使用的API,以在部署过程中管理证书。 用法 将 nuget软件包安装到您的项目中: Install-Package Certes 或使用.NET CLI: dotnet add package Certes 是我们支持的主要CA。 建议在使用生产...
acme-lib-用于从ACME提供程序请求证书的库-Rust开发
05-27
acme-lib acme-lib是一个用于访问诸如Let's Encrypt之类的ACME(自动证书管理环境)服务的库。 使用ACME v2发行acme-lib acme-lib是用于访问诸如Let's Encrypt之类的ACME(自动证书管理环境)服务的库。 使用ACME v2...
FreeSSL申请免费证书
余热程序员的博客
12-28 1418
使用FreeSSL申请免费证书
证书删除
qq_44568325的博客
06-08 333
绑定已经生成的证书,根据id进行删除 function DeleteCertificate() { $.ajaxSettings.async = false; var checkStatus = layuiTable.checkStatus('tabCertificate'); var selectData = ch...
centos 安装 acme
yushi000的博客
09-05 374
1.获取 dnspod秘钥 以腾讯云为例。3.修改account.cnf。
acme-命令
阳光码术-Java面试宝典
02-12 5056
acme.sh命令行工具 -h --help 显示此帮助消息 -v --version 显示版本信息 –install 安装acme –uninstall 卸载acme,然后卸载cron作业 –upgrade 升级acme.sh至最新代码https://github.com/acmesh-official/acme.sh –issue 颁发证书 –deploy 发布证书cert到服务器 -i --install-cert 将颁发的证书安装到apache/nginx或任何其他服.
Centos安装Nginx并使用acme脚本配置SSL证书
ColoutfulT的博客
12-01 1332
安装Nginx并使用acme脚本配置SSL证书
acme.sh给网站域名,申请免费SSL永久证书(自动续期)
热门推荐
09-09 1万+
申请ssl证书,即https有很多,有免费的,也有收费的。如第三方域名管理cloudflare也可以自动添加使用https,而且永久。但是由于有些服务,需要在服务器使用自签证书,所以需要自己申请。免费的可以使用certbot,也可以是使用zeroSSL。Certbot申请免费SSL证书这里,介绍使用acme.sh生成免费的ssl证书,其完整实现了acme协议,并且由纯Shell脚本语言编写,没有过多的依赖项,安装和使用都非常方便。
acme获取https证书并配置到spingboot项目(standalone模式)
1周是1年的2%
04-18 1196
ok
acme 自动证书管理
06-10
ACME(Automatic Certificate Management Environment)是一个由 Let's Encrypt 领导的开放标准,用于自动化获取、更新和管理 SSL/TLS 证书。使用 ACME,您可以轻松地自动化证书颁发和更新过程,从而减轻了管理 SSL/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值