acme + acme-dns + google domains 签发泛域名证书

已于 2022-12-01 14:32:09 修改
阅读量3.2k 收藏
点赞数
分类专栏: 服务器 文章标签: linux ssl https 安全
于 2022-09-09 20:02:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zgrwbb/article/details/126788512
版权

acme + acme-dns + (google domains 或 cloudflare) 签发泛域名证书

1. acme.sh

# 下载
curl  https://get.acme.sh | sh -s email=my@example.com
# 让 acme.sh 命令生效
. .bashrc
# 开启 acme.sh 的自动升级
acme.sh --upgrade --auto-upgrade

2. 搭建acme-dns服务 或者 跳过本步骤直接使用 https://auth.acme-dns.io

# 1. 安装
git clone https://github.com/joohoi/acme-dns
cd acme-dns
export GOPATH=/tmp/acme-dns
go build  # go 1.13 以上
# 2. 编辑
vim config.cfg
	1. listen = "服务器对外IP:53" 或 ":53"
	2. domain = "auth.你的域名"
	3. nsname = "auth.你的域名"
	4. records: 将所有的 `auth.example.org` 替换为 `auth.你的域名`, 将 `198.51.100.1` 替换为 `你的服务器IP`.
	5. connection = "{当前路径}/acme-dns.db"
	6. ip = "127.0.0.1"
	7. port = "4433" # 不要和当前服务器其他端口冲突
	8. tls = "none"
# 3. 编辑acme-dns.service
vim acme-dns.service
	注释掉[service]中的
	# User=acme-dns 
	# Group=acme-dns
	修改 
	ExecStart = {当前路径}/acme-dns -c {当前路径}/config.cfg

# 4. 安装为服务
cp acme-dns.service /etc/systemd/system/
systemctl daemon-reload
systemctl enable acme-dns --now

3. 使用 acme-dns

export ACMEDNS_BASE_URL="http://127.0.0.1:4433"
curl -s -X POST ${ACMEDNS_BASE_URL}/register | python -m json.tool > acme-dns.challenges;cat acme-dns.challenges
# 响应
{
    "username": "5c4738ad-2c94-4de8-80a8-182d2a86ede3",
    "password": "vfZm70ZO6k5FCYTwjpby_HQ_ebwLkWErb0RK-HuT",
    "fulldomain": "d487f8fa-2ecb-4de2-ba29-3a17c7ec1a9a.auth.你的域名",  # 如果跳过步骤2 "你的域名" 会是 "acme-dns.io"
    "subdomain": "d487f8fa-2ecb-4de2-ba29-3a17c7ec1a9a",
    "allowfrom": []
}
export ACMEDNS_USERNAME="$(cat acme-dns.challenges | awk -F"\"" '/username/{print $4}')"
export ACMEDNS_PASSWORD="$(cat acme-dns.challenges | awk -F"\"" '/password/{print $4}')"
export ACMEDNS_SUBDOMAIN="$(cat acme-dns.challenges | awk -F"\"" '/subdomain/{print $4}')"
echo "FULLDOMAIN = $(cat acme-dns.challenges | awk -F"\"" '/fulldomain/{print $4}')"

# 验证
curl -s -X POST \
  -H "X-Api-User: $ACMEDNS_USERNAME" \
  -H "X-Api-Key: $ACMEDNS_PASSWORD" \
  -d "{\"subdomain\": \"$ACMEDNS_SUBDOMAIN\", \"txt\": \"___validation_token_received_from_the_ca___\"}" \
  $ACMEDNS_BASE_URL/update|python -m json.tool
# 看下结果是不是如下
{
    "txt": "___validation_token_received_from_the_ca___"
}
# 是的话 acme-dns 已经正常了

4. 添加自定义记录

ns.auth A xxx.xxx.xxx.xxx
auth NS ns.auth.example.org
_acme-challenge CNAME FULLDOMAIN(步骤3中的 fulldomain)

例:
请添加图片描述

4. 签发证书

# 如果已经签发过证书需要加 '--force' 参数
acme.sh --issue --dns dns_acmedns -d example.org -d *.example.org (你自己的域名)
# 输出大概如下
[Fri Sep  9 07:45:45 PM CST 2022] Using CA: https://acme.zerossl.com/v2/DV90
[Fri Sep  9 07:45:45 PM CST 2022] Single domain='*.example.org'
[Fri Sep  9 07:45:45 PM CST 2022] Getting domain auth token for each domain
[Fri Sep  9 07:46:14 PM CST 2022] Getting webroot for domain='*.example.org'
[Fri Sep  9 07:46:14 PM CST 2022] Adding txt value: fSuElrGOngpmxIjNYIQ_m1RFoF8eMeqESecoe00-Ebo for domain:  _acme-challenge.example.org
[Fri Sep  9 07:46:14 PM CST 2022] Using acme-dns
[Fri Sep  9 07:46:16 PM CST 2022] The txt record is added: Success.
[Fri Sep  9 07:46:16 PM CST 2022] Let's check each DNS record now. Sleep 20 seconds first.
[Fri Sep  9 07:46:37 PM CST 2022] You can use '--dnssleep' to disable public dns checks.
[Fri Sep  9 07:46:37 PM CST 2022] See: https://github.com/acmesh-official/acme.sh/wiki/dnscheck
[Fri Sep  9 07:46:37 PM CST 2022] Checking example.org for _acme-challenge.example.org
[Fri Sep  9 07:46:38 PM CST 2022] Domain example.org '_acme-challenge.example.org' success.
[Fri Sep  9 07:46:38 PM CST 2022] All success, let's return
[Fri Sep  9 07:46:38 PM CST 2022] Verifying: *.example.org
[Fri Sep  9 07:46:45 PM CST 2022] Processing, The CA is processing your order, please just wait. (1/30)
[Fri Sep  9 07:46:56 PM CST 2022] Success
[Fri Sep  9 07:46:56 PM CST 2022] Removing DNS records.
[Fri Sep  9 07:46:56 PM CST 2022] Removing txt: fSuElrGOngpmxIjNYIQ_m1RFoF8eMeqESecoe00-Ebo for domain: _acme-challenge.example.org
[Fri Sep  9 07:46:56 PM CST 2022] Using acme-dns
[Fri Sep  9 07:46:56 PM CST 2022] Removed: Success
[Fri Sep  9 07:46:56 PM CST 2022] Verify finished, start to sign.
[Fri Sep  9 07:46:56 PM CST 2022] Lets finalize the order.
[Fri Sep  9 07:46:56 PM CST 2022] Le_OrderFinalize='https://acme.zerossl.com/v2/DV90/order/vde1KxBa3XzF9Qu1XNfGUA/finalize'
[Fri Sep  9 07:47:03 PM CST 2022] Order status is processing, lets sleep and retry.
[Fri Sep  9 07:47:03 PM CST 2022] Retry after: 15
[Fri Sep  9 07:47:19 PM CST 2022] Polling order status: https://acme.zerossl.com/v2/DV90/order/vde1KxBa3XzF9Qu1XNfGUA
[Fri Sep  9 07:47:27 PM CST 2022] Downloading cert.
[Fri Sep  9 07:47:27 PM CST 2022] Le_LinkCert='https://acme.zerossl.com/v2/DV90/cert/Y5Iu1MFA4ZefWC9faoeYeA'
[Fri Sep  9 07:47:37 PM CST 2022] Cert success.
-----BEGIN CERTIFICATE-----
MIIGYjCCBEqgAwIBAgIQHO99Ikjng7jgsxUyXGtyVDANBgkqhkiG9w0BAQwFADBL
MQswCQYDVQQGEwJBVDEQMA4GA1UEChMHWmVyb1NTTDEqMCgGA1UEAxMhWmVyb1NT
TCBSU0EgRG9tYWluIFNlY3VyZSBTaXRlIENBMB4XDTIyMDkwOTAwMDAwMFoXDTIy
MTIwODIzNTk1OVowFTETMBEGA1UEAwwKKi53YmJvLmRldjCCASIwDQYJKoZIhvcN
AQEBBQADggEPADCCAQoCggEBAMEawA+/YasSWe5gVOJRe1gV2fldhDvLFc6M6yIX
T3jHoQDEkMT+ZuBrLH7eiumNLvP8X3Dxs3ay+mN6s+8n8Ld2nU4D7Rs8QgD/orSX
LCArIWo+njJkmrOoWTYYvNz3CQIRXYEP9nvswq4kMvd2H9whd+2zAodEFGH+VGpB
GZ3BiwHhyRBOht1CGq3PHa+bKfPebpaSTsGC1r5hWI2dYM4u2ouYBkemoXFKYTZG
KL4HV3GzwNTzyzR5UkkkPnfbGUp9Dd32Qof2A9G/lyOAZyz7EmA15gZvFhXKzOi7
Ss92iFD9E9tJMK+lxbSUmw0D1pTuAhRE+QleEjBKB36lDYsCAwEAAaOCAnYwggJy
MB8GA1UdIwQYMBaAFMjZeGii2Rlo1T1y3l8KPty1hoamMB0GA1UdDgQWBBSdwLKJ
LHCsVldJbhyyF7G3eiPL5TAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0TAQH/BAIwADAd
BgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwSQYDVR0gBEIwQDA0BgsrBgEE
AbIxAQICTjAlMCMGCCsGAQUFBwIBFhdodHRwczovL3NlY3RpZ28uY29tL0NQUzAI
BgZngQwBAgEwgYgGCCsGAQUFBwEBBHwwejBLBggrBgEFBQcwAoY/aHR0cDovL3pl
cm9zc2wuY3J0LnNlY3RpZ28uY29tL1plcm9TU0xSU0FEb21haW5TZWN1cmVTaXRl
Q0EuY3J0MCsGCCsGAQUFBzABhh9odHRwOi8vemVyb3NzbC5vY3NwLnNlY3RpZ28u
Y29tMIIBBAYKKwYBBAHWeQIEAgSB9QSB8gDwAHYARqVV63X6kSAwtaKJafTzfREs
QXS+/Um4havy/HD+bUcAAAGDIhMswgAABAMARzBFAiEA7zNBVHbjTd62K3m5NJD3
XKV4jk7AJy6ZmUfr3mZizp8CIFpEPDA+Y99cLDAsJ7GtAfdeLFTn2Zv0G4ne5p6r
ipoxAHYAQcjKsd8iRkoQxqE6CUKHXk4xixsD6+tLx2jwkGKWBvYAAAGDIhMslgAA
BAMARzBFAiEA/6RUM63358DusgNK9Z1BaN6ZeA75Vk+aG1wF1uPAMhcCIBl2zo0O
TMzJUFeELRog7Vyxs9G+kj76bc3cE0KXIn6cMBUGA1UdEQQOMAyCCioud2Jiby5k
ZXYwDQYJKoZIhvcNAQEMBQADggIBAGFX+CdiZRXtotWEfjdtkdEJ3jKskuAVNp0k
DTZsQVfqjx+zHKuqCmABQwtESpi2PBj8x95e5qjIYGSKFeNUtpz8380nJapC6gW3
xOLejQpsMfOaSo7htFDzgxMoemPXurNmxyVvOSTHLlBjIQKavuNhmMfjftpAKSxS
gCWSe8R5exjksIh07p2AwZY1DgWqbZSt48zlXdeNR8xcDnmhsDRGzKtEnQrCHxWv
DB9XFjWFva0ydqf8gM6x21G2EjWBmk6Ho94333wbw2t8jj0us5Z/awJABAHGyNyc
iS1Bw1Mtqnjmxe7bGfF5cXmw/3Dh/DrVbLUqezeGFiAKSZIVG8+djPXSlEMAARj6
Q11CYZ+LzmlYKKpls1uU+D2/mYlr29nCmAntwi7DhJHmCuSZXUprkYT6H6+3Ndhb
7uDWsxmHNRPzmPckBQtgimRAveSXviwl+5cN09Sna3Yagzm9Z2F0S+SeUJd91nm1
6JKSUF+PHt1MeVg3xl0SlxjIiwTVie12ncTSTvXMYduc7N4OleQoGEykPsIKY8OK
kG5MWha+VQ7JOV19qVEkjuag6lS/J5kO4SnCNf3oCEuezvJBVSVK1Q1J36OMSqxr
oxBtQFTtYGtNaFLls8YTPW9yztY1IYZzfE6zEqOHWrbiVu1mdAsaUskXMQR10bCD
XLGrESn3
-----END CERTIFICATE-----
[Fri Sep  9 07:47:37 PM CST 2022] Your cert is in: /root/.acme.sh/*.example.org/example.org.cer
[Fri Sep  9 07:47:37 PM CST 2022] Your cert key is in: /root/.acme.sh/*.example.org/example.org.key
[Fri Sep  9 07:47:37 PM CST 2022] The intermediate CA cert is in: /root/.acme.sh/*.example.org/ca.cer
[Fri Sep  9 07:47:37 PM CST 2022] And the full chain certs is there: /root/.acme.sh/*.example.org/fullchain.cer

6. 安装证书

# 把证书放到指定路径下
DOMAIN=example.org;CERT_PATH=/etc/ssl/certs/${DOMAIN}; mkdir -p ${CERT_PATH}; acme.sh --install-cert -d ${DOMAIN} -d *.${DOMAIN} --cert-file ${CERT_PATH}/${DOMAIN}.cer --key-file ${CERT_PATH}/${DOMAIN}.key --fullchain-file ${CERT_PATH}/fullchain.cer

7. 参考

https://kn007.net/topics/using-acme-sh-and-acme-dns-get-googles-free-wildcard-ssl-certificate/

https://github.com/joohoi/acme-dns

https://github.com/acmesh-official/acme.sh

WBBO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用acme.sh自动申请免费SSL证书
aben_sky的专栏
04-22 1791
官方文档: https://github.com/acmesh-official/acme.sh#1-how-to-install ...
acme-dns:带有RESTful HTTP API的受限DNS服务器,可轻松安全地处理ACME DNS挑战
05-03
acme-dns 带有RESTful HTTP API的简化DNS服务器,提供了一种简单的方式来自动执行ACME DNS挑战。 为什么? 许多DNS服务器不提供启用ACME DNS挑战自动化的API。 这样做的话,会给按键带来太多的力量。 要使有意义的过程自动化,常常需要把钥匙放在随机的盒子周围。 Acme-dns提供了专门用于TXT记录更新的简单API,应与ACME魔术“ _acme-challenge”(子域CNAME记录)一起使用。 这样,在不幸暴露API密钥的情况下,其影响仅限于所讨论的子域TXT记录。 因此,基本上可以归结为可访问性和安全性。 有关基本问题和其他建议解决方案的详细说明,请参阅EFF深层链接博客中有关该主题的博客文章: : 特征 简化的DNS服务器,为您的ACME DNS挑战(TXT)提供服务 自定义记录(已提供您所需的A,AAAA,NS等记录) HT
推荐开源项目:ACMEWrapper —— 让你的Go语言服务器轻松拥抱Let's Encrypt
gitblog_00029的博客
05-26 243
推荐开源项目:ACMEWrapper —— 让你的Go语言服务器轻松拥抱Let's Encrypt 项目地址:https://gitcode.com/dkumor/acmewrapper 在当今的Web服务中,SSL证书已成为网站安全的标配,而Let's Encrypt作为全球知名的免费证书颁发机构,受到了广大开发者和运维人员的青睐。然而,手动配置和管理Let's Encrypt证书对许多开发团队...
Nginx 网站使用 acme配置 DNS方式 https证书访问 域名
hmx224_2014的专栏
06-30 7890
2020年写过一篇通过acme的http方式生成证书,热度很高,但是Nginx 网站使用 acme配置 https证书访问步骤主要是单域名证书申请,今天追加另一种DNS方式配置证书申请域名方式。安装 acme.sh这里不再赘述安装,直接参考:https://github.com/acmesh-official/acme.sh/wiki/How-to-install申请阿里云子账户(需要该域名的所有者开通子账户用户解析dns能力) 第3步:生成域名证书:(会自动在域名所属服务器添加解析记录:_acme-c
acme申请域名SSL证书
夜闌靜 風也清
02-20 1521
网上有太多的例子教程了,在这里只做一个简单的记录以便自己方便查询。 以下以阿里云为例 1. 登录阿里云管理后台创建Accesskey,记录Accesskey ID和Access Key Secret以备用。 2. 下载acme和设置access key。 安装 curl https://get.acme.sh | sh 在/root/.acme.sh下创建account.conf...
使用acme免费获取域名SSL证书
丨丶Story随笔
03-07 346
在线RSA PKCS#1 转 PKCS8格式私钥、convert pkcs8 to pkcs#1 private key--查错网。如果安装有宝塔,证书一般默认存放在:/www/server/panel/vhost/cert/xxx。复制:fullchain.cer 和 转换后的key。
acme-dns and acme.sh
来啊 快活啊
09-10 729
acme dns 是Limited DNS server with RESTful HTTP API to handle ACME DNS challenges easily and securely. A simplified DNS server with a RESTful HTTP API to provide a simple way to automate ACME DNS chall...
win-acme 网站https 证书免费申请工具
08-15
4. **多域名支持**:除了单一域名,win-acme还支持通配符域名和多域名证书的申请,方便管理多个网站。 5. **安全验证**:win-acme支持多种验证方式,如HTTP-01和DNS-01,可以根据你的网络环境选择最合适的验证方法...
acme-dns-01-cloudflare:Cloudflare DNS,让我们使用Greenlock.js和ACME.js加密ACME dns-01挑战
02-14
安装npm install acme-dns-01-cloudflare --saveCloudflare API令牌尽管您可以使用全局API密钥和电子邮件来生成证书,但我们强烈建议您使用Cloudflare API令牌来提高安全性。 在您的,创建具有以下权限的API令牌: ...
win-acme.v2.1.18-x64.rar
08-28
【win-acme.v2.1.18-x64.rar】是一个包含最新版本的win-acme工具的压缩文件,主要用于帮助Windows服务器用户免费获取并安装SSL(Secure Sockets Layer)证书,以提升网站的安全性和可信度。SSL证书是网络安全的重要...
acme-companion:为Nginx代理自动生成ACME SSL证书
04-12
它通过ACME协议为代理的Docker容器处理SSL证书的自动创建,更新和使用。 如果使用latest版本,则必读:此项目的v2.0.0版本标记了Docker镜像所使用的ACME客户端从到 此开关会导致某些向后不兼容的更改,因此在更新...
win-acme.v2.1.18-x64免费域名申请利器
最新发布
06-07
4. **多域名管理**:如果你有多域名需要处理,win-acme也支持通配符证书的申请,一次操作即可覆盖整个域名家族。 5. **日志和报告**:工具提供详细的日志记录和报告功能,帮助用户跟踪证书的状态和更新历史,方便...
使用 acme.sh 免费申请域名证书和自动续约
qwe134133987的博客
12-27 1681
使用 acme.sh 申请域名证书免费申请自动续约,自动更新证书等操作。
acme.sh签发和部署ZeroSSL域名证书
Roger_Spencer的博客
10-23 1251
acme.sh 是个开源的shell证书生成脚本,他可以自动生成Let’s Encrypt 的证书,也可以通过API生成其他的证书。more这里我们用的ZeroSSL签发证书。有人问,为啥不用Let’s Encrypt的证书呢?因为有人说Let’s Encrypt的服务器被墙,导致使用Let’s Encrypt证书的网页加载缓慢。在acme.sh的文档中提到,acme.sh默认server使用Let’s Encrypt,将在2021/08/01发布v3版本。
使用acme给nginx签发免费证书
xyw19991006的博客
10-12 1414
使用acme生成ssl证书,部署在nginx中
Let‘s Encrypt 签发域名域名https证书示范(最新亲测有效,踩了几个坑,有问题评论我给你答疑)
HumorChen的博客
01-17 2923
ACME自动安装 我用的ubuntu,如果你是centos则把apt-get 改为yum即可 # 我安装好后提示要安装socat,因此你们先安装上这个 apt-get install socat -y # 安装acme curl https://get.acme.sh | sh # 安装好后关闭终端重新打开 获取域名解析记录API key DNSPod 域名解析 由于我是使用的是 DNSPod 解析服务,那就登录 DNSPod 官网生,成所需的 api id 和 api key。 操作方法:点击右上
探索Acme-DNS:自动化DNS验证的利器
gitblog_00053的博客
03-24 536
探索Acme-DNS:自动化DNS验证的利器 项目地址:https://gitcode.com/joohoi/acme-dns Acme-DNS是一个开源项目,专为自动处理Let's Encrypt等ACME协议证书颁发机构的DNS验证而设计。它使你能够轻松地通过DNS记录进行身份验证,进而获取SSL/TLS证书,确保网站的安全通信。 项目简介 Acme-DNS的核心功能是作为一个中间服务器,接...
搭建自己的 acme-dns server
来啊 快活啊
09-10 1904
acme-dns要实现的功能一个是可以调用其提供的register/update等endpoint,另一个是能够接受所有的x.auth.acme-dns.io格式的域名访问。 域名配置 auth.acme-dns.io *.auth.acme-dns.io ns auth.acme-dns.io NS record for auth.example.org pointing to auth....
acme.sh dns alias mode and acme-dns
来啊 快活啊
09-10 746
注册 curl -X POST https://auth.acme-dns.io/register 设置环境变量 export ACMEDNS_UPDATE_URL="https://auth.acme-dns.io/update" export ACMEDNS_USERNAME="f5568755-709e-48db-bd2d-e1057e4e9b61" export ACMEDNS_...
RFC8555:ACME自动证书管理环境:简化Web PKI验证与管理
Web PKI通常依赖于数字证书,由认证机构(Certificate Authorities, CAs)负责验证申请人是否合法代表了证书中的域名。 在传统的Web PKI系统中,申请证书时需要一系列的手动步骤,如交互式身份验证、证明文件提交等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值