阿里云+acme.sh通配符ssl证书

已于 2023-11-25 00:55:06 修改
阅读量4.8k 收藏 9
点赞数 2
分类专栏: 综合 文章标签: ssl 阿里云 https
于 2021-11-06 01:51:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yedajiang44/article/details/121173526
版权
本文介绍了如何利用非营利组织ISRG提供的Let'sEncrypt免费证书颁发机构,通过DNS验证方式在阿里云上自动化部署SSL证书。重点讲述了acme.sh客户端的安装、配置阿里云AccessKey、生成证书以及在Nginx中的配置步骤,帮助读者实现网站的HTTPS化。主要难点在于阿里云的密钥管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

简介

Let’s Encrypt 是一个由非营利性组织互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA)。它只支持 DV 证书的签发,也就是通过验证域名所有权,然后签发该域名的证书。它支持两种验证方式,一种是通过 HTTP 的方式验证,另一种是通过 DNS 的方式验证,只有这种支持通配符,而今天要讲的就是第二种方式。
官网地址:https://letsencrypt.org

客户端

Let’s Encrypt 使用 ACME 协议来验证您对给定域名的控制权并向您颁发证书。要获得 Let’s Encrypt 证书,就需要选择符合 ACME 协议的客户端软件:

  • 官方

    提供了很多证书的申请方式方法:https://letsencrypt.org/zh-cn/docs/client-options/

  • certbot

    既可以获取证书,也可以安装证书,适用于许多操作系统,并且文档很详细、完善。

  • acme.sh

    目前 Let’s Encrypt 免费证书客户端中最简单、最智能的 shell 脚本,可以自动发布和续订 Let’s Encrypt 中的免费证书

阿里云

由于使用的是 dns 方式,且为了简化自动续签,因此为客户端提供阿里云操作 dns 的账号以及密钥

申请密钥

  1. 登录阿里云
  2. 进入 RAM 访问控制(可直接在右上角搜索:访问控制)
    在这里插入图片描述
  3. 进入 RAM 中的身份管理中的用户组
    在这里插入图片描述
  4. 创建用户组
  5. 进入新建的用户组新增授权在这里插入图片描述
  6. 点击左侧用户菜单并创建用户 >访问方式一定要勾选 Open API 调用访问
    在这里插入图片描述
  7. 将新建的用户添加到前面创建的用户组在这里插入图片描述
  8. 到认证管理中创建 AccessKey

    创建成功后建议直接导出,防止忘了

acme.sh

安装

自动安装

邮箱用于提醒证书过期

curl  https://get.acme.sh | sh -s email=my@example.com

测试收否安装成功

[root@yedajiang44 .acme.sh]# acme.sh --version
https://github.com/acmesh-official/acme.sh
v3.0.1

生成证书

设置环境变量

Ali_KeyAli_Secret会被保存至~/.acme.sh/account.conf文件中

export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"

生成

建议启用 --debug 参数,因为可以看到详细的执行过程,否则会很容易误以为命令假死

acme.sh --issue --dns dns_ali -d example.com -d www.example.com --debug
  • 期间acme会请求80端口,如果需要指定端口可使用--httpport
  • 如果需要pfx证书可以使用--to-pkcs12 --password 密码
  • 如果申请通配符证书则在在域名前面加上*,如*.example.com

记住输出的目录

配置 nginx

示例:

server {
        listen                          80;
        listen                          443 ssl http2;
        listen                          [::]:443 ssl http2;
        server_name                     ip.yedajiang44.com;
        ssl_certificate                 /home/yedajiang44/.acme.sh/yedajiang44.com/fullchain.cer;
        ssl_certificate_key             /home/yedajiang44/.acme.sh/yedajiang44.com/yedajiang44.com.key;
        ssl_protocols                   TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers                     HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers       on;
        location / {
                default_type text/plain;
                return 200 "$remote_addr\n";
        }
}
  • ssl_certificate 一定要设置为fullchain.cer
  • 手动重新加载 nginx
     nginx -s reload

总结

至此你的网站已经可以使用 https 了
其实比较麻烦的就是阿里云的密钥,其他的都还好。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值