acme.sh生成https证书

已于 2024-08-02 15:48:30 修改
阅读量428 收藏 8
点赞数 3
文章标签: https 网络协议 http
于 2024-08-02 08:58:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuanyemanong/article/details/140863015
版权

前言

SSL 价格并不便宜, 本节介绍如何使用 acme.sh 生成免费的 SSL 证书

证书生成原理

CA && Let’s Encrypt

证书颁发机构(CA,Certificate Authority)是一个负责颁发数字证书的实体。数字证书用于在互联网上验证实体的身份,确保通信的安全和可信性。

Let’s Encrypt 是一个免费、自动化和开放的证书颁发机构 ,由互联网安全研究组(ISRG)运营。它的目标是通过提供免费的 SSL/TLS 证书,让 HTTPS 加密在互联网上变得更加普及和易于部署。以下是一些关于 Let’s Encrypt 的关键点:

  • 免费:Let’s Encrypt 提供免费的 SSL/TLS 证书,不需要支付传统证书的费用。
  • 自动化:通过 ACME 协议(Automatic Certificate Management Environment),可以自动申请、验证、安装和更新证书。
  • 安全:帮助网站实现 HTTPS,加密用户与网站之间的通信,提高安全性。
  • 开放:任何人都可以使用 Let’s Encrypt 的服务,无需特殊权限或繁琐的申请流程。
  • 社区支持:由许多大公司和组织支持,如 Mozilla、思科、Akamai 和 EFF(电子前沿基金会)。

ACME 协议

ACME(Automatic Certificate Management Environment)协议是一种自动化方式,用于与证书颁发机构(CA,如 Let’s Encrypt)进行交互,自动颁发、续订和管理证书。ACME 协议通过域名验证来证明你对域名的控制权。

域名验证

为了颁发证书,CA 需要验证你对请求证书的域名的控制权。ACME 支持多种验证方法,常见的有 HTTP-01、DNS-01 和 TLS-ALPN-01。

  • HTTP-01: CA 会请求一个特定的 URL(例如 http://yourdomain.com/.well-known/acme-challenge/unique-token),你需要在服务器上提供一个包含特定内容的文件来响应这个请求。
  • DNS-01: CA 会验证特定的 DNS TXT 记录(例如 _acme-challenge.yourdomain.com),你需要在 DNS 服务器上添加这一记录来进行验证。

证书签发

通过验证后,CA 会生成并签发 SSL 证书,并将证书发送回给请求者。这个证书包含了域名的公钥信息,CA 对其进行签名,确保其真实性。

为 idea.chenxiaoyao.cn 添加证书

下面用真实项目解释流程, 项目基本信息如下:

idea.chenxiaoyao.cn # 项目域名, docker 部署, 3000 端口
assets.chenxiaoyao.cn # cdn 域名, 用于主项目地资源存储

服务器为 aws 免费使用版(一年), 操作系统为 Ubuntu

域名在腾讯云上申请并使用, OSS 服务使用了阿里云

服务器 acme.sh 安装

登录云服务器控制台, 可以通过控制台网页或者本地命令行登录

我这里使用了是本地命令行

ssh -i "xxxx.pem" ubuntu@xxxx.us-west-1.compute.amazonaws.com

安装 acme.sh, github 地址: https://github.com/acmesh-official/acme.sh

curl https://get.acme.sh | sh -s email=my@example.com

安装完成根目录会出现.acme.sh 文件夹,里面有一个文件,用于配置证书
https://github.com/chenxiaoyao6228/cloudimg/2024/acme-install.png

获取密钥

腾讯云获取密钥: https://console.cloud.tencent.com/cam/capi, 点击新建, 复制到安全的地方

登录云服务器控制台

vi  .bashrc

添加下面两行

export Tencent_SecretId="<Your SecretId>"
export Tencent_SecretKey="<Your SecretKey>"

Esc, :wq保存退出, 使用下面的命令重载

source .bashrc

生成证书

~/.acme.sh/acme.sh --issue --dns dns_tencent -d idea.chenxiaoyao.cn

对应的执行效果大概是这样
https://github.com/chenxiaoyao6228/cloudimg/2024/acme-execute-cert-gen.png

生成的证书会放在对应的文件夹下

https://github.com/chenxiaoyao6228/cloudimg/2024/acme-cert.png

也可以通过

nslookup -q=txt _acme-challenge.idea.chenxiaoyao.cn

结果类似下图
https://github.com/chenxiaoyao6228/cloudimg/2024/acme-cert-text-record.png

域名添加 A 记录

通过公网 ip+端口访问项目, 确保可以访问

在腾讯云添加 A 记录值

https://github.com/chenxiaoyao6228/cloudimg/2024/acme-domain-a-record.png

添加完之后尝试使用域名+端口访问项目, 比如

http://idea.chenxiaoyao.cn:3000

nginx 部署证书

安装 nginx

sudo apt update
sudo apt install nginx

nginx -t获取 nginx 配置地址

/etc/nginx/nginx.conf

使用vi /etc/nginx/nginx.conf编辑配置, 如何没有权限的话加上sudo

http{}中添加以下配置, server1 是保证可以通过 http 访问, server2 是保证可以通过 https 访问

http {

# 省略其他配置

server {
    listen 80;
    server_name idea.chenxiaoyao.cn;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name idea.chenxiaoyao.cn;

    ssl_certificate /etc/ssl/idea.chenxiaoyao.cn/fullchain.cer;
    ssl_certificate_key /etc/ssl/idea.chenxiaoyao.cn/idea.chenxiaoyao.cn.key;

    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

}

配置完成后重启 nginx

nginx -t # 看配置是否生效
sudo systemctl restart nginx # 重启nginx

至此, 你就可以访问 https://idea.chenxiaoyao.cn

为 assets.chenxiaoyao.cn 添加证书

关闭 nginx

acme.sh 会启动一个 服务,用于验证域名的控制权, 因此要避免端口占用

https://github.com/chenxiaoyao6228/cloudimg/2024/acme-nginx.png

sudo systemctl stop nginx

生成证书

注意我们域名解析用的还是腾讯云

acme.sh --issue --dns dns_tencent -d assets.chenxiaoyao.cn

证书生成之后可以到对应的文件夹查看

阿里云添加证书

地址在: https://cdn.console.aliyun.com/safety/https

但是 web 端已经不支持自签了, 只能通过 cli

https://github.com/chenxiaoyao6228/cloudimg/2024/aliyun-https-cdn.png

获取 aliyun access key

登录 https://ram.console.aliyun.com/manage/ak

生成 access key 保存到安全的地方

我这里用的是 acess key, 安全起见你可以尝试子用户AcessKey的方式

下载 aliyun cli

具体可以参考: https://github.com/aliyun/aliyun-cli?tab=readme-ov-file

/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/aliyun/aliyun-cli/HEAD/install.sh)"

安装完成之后可以使用 aliyun 命令测试下

aliyun configure

https://github.com/chenxiaoyao6228/cloudimg/2024/aliyun-cli-config.png

上传证书

服务器新建upload_cert_to_aliyun.sh

#!/usr/bin/env bash

# 替换为您的证书文件路径
CERT_FULLCHAIN_PATH="$HOME/.acme.sh/assets.chenxiaoyao.cn_ecc/fullchain.cer"
CERT_KEY_PATH="$HOME/.acme.sh/assets.chenxiaoyao.cn_ecc/assets.chenxiaoyao.cn.key"
DOMAIN="assets.chenxiaoyao.cn"

# 获取证书内容的自定义函数
get_cert() {
    # 使用 sed 删除掉证书文件的空行
    sed -e "/^$/d" "$CERT_FULLCHAIN_PATH"
}

# 获取密钥内容的自定义函数
get_key() {
    cat "$CERT_KEY_PATH"
}

# 证书名称 (替换域名的 . 为 _,以符合阿里云证书名称规范)
CERT_NAME="${DOMAIN//./_}-$(date +%s)"

# 需要更新证书的 CDN 域名列表
DOMAIN_LIST=(
    "assets.chenxiaoyao.cn"
)

# 设置 CDN 域名列表使用新的证书
for _domain in "${DOMAIN_LIST[@]}"; do
    aliyun cdn SetCdnDomainSSLCertificate --DomainName "$_domain" --SSLPub="$(get_cert)" --SSLPri="$(get_key)" --CertType upload --SSLProtocol on || exit 103
done

echo "证书已成功上传并配置到 CDN 域名。"

执行

chmod +x upload_cert_to_aliyun.sh
./upload_cert_to_aliyun.sh

上传完成, 到控制台去看, 发现已经有了

https://github.com/chenxiaoyao6228/cloudimg/2024/aliyun-https-cdn-success.png

上传图片测试, 可以看到 https 已经启用了

https://github.com/chenxiaoyao6228/cloudimg/2024/aliyun-https-cdn-success-cat-test.png

nginx 服务恢复

证书生成之后记得恢复 nginx 服务, 不然idea.chenxiaoyao.cn等其他服务挂了

sudo systemctl restart nginx

本文首发于个人博客前端开发笔记,由于笔者能力有限,文章难免有疏漏之处,欢迎指正

逍遥的编程笔记
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
acme.sh证书申请
欢迎你们到来,希望能帮到大家
06-26 194
说明:1、想每个项目都接入域名+端口访问,所以通过acme.sh申请泛域名证书2、阿里云域名解析,并且指定公网ip地址对应的公共Nginx服务3、acme.sh证书只有3个月,所以要用shell自动续签证书4、阿里云域名已解析,所以二级域名、三级域名能正常解析,如下图所示,
使用 acme.sh 生成免费的泛域名证书
m0_69214212的博客
04-12 2115
原文发布在 不二博客 在 使用 acme.sh 为网站生成永久免费证书 一文中介绍了如何安装 acme.sh 以及如何生成证书,这篇文章就来说一说如何使用 acme.sh生成泛域名证书,即主域名和所有该主域名下的所有二级域名都使用一个证书,省去了为每个域名都生成证书的麻烦。 本篇文章以腾讯云的 DNSPod 为例,如果你使用的是阿里云或者别的域名服务商,请自行搜索解决。 **DNS 方式的真正强大之处在于可以使用域名解析商提供的 api 自动添加 TXT 记录完成验证。**我们就是利用 DNS 方式来.
使用 acme.sh 为网站生成永久免费证书
m0_69214212的博客
04-06 4886
原文发布在 不二博客 HTTP 2.0 时代几乎所有的网站都是 https 访问方式了,想要实现 https 访问,安全证书就是绕不过去的坎,域名服务商一般都会提供了免费证书注册,网上也可以搜索很多,常见的免费证书的颁发机构有 亚洲诚信、Let’s Encrypt、ZoreSSL 等。免费证书的优缺点: 优点: 免费 缺点: 个数限制 时间限制 无法申请通配证书 只要有一个 免费 的优点就够了,缺点都是可以克服的。而克服这些缺点的英雄就是 acme.shacme.sh 实现了 acme 协议,.
【Linux】使用 acme.sh 实现了 acme 协议生成免费的SSL 证书
ihero的博客
02-22 2046
acme.sh 实现了 acme 协议, 可以从多个CA提供商获取SSL证书,包括从 letsencrypt 获取生成免费的证书.下面详细介绍如下:
使用acme.sh免费生成ssl证书
MrZhangYongj的博客
06-07 1257
使用acme.sh 免费生成https的ssl证书
acme.sh 生成 ECC 类型的 SSL 证书
mixboot
12-13 1623
acme.sh 生成 ECC 类型的 SSL 证书
acme.sh从 letsencrypt 生成SSL免费证书并自动更新证书
彭世瑜的博客
04-05 2194
acme.sh 实现了 acme 协议, 可以从 letsencrypt 生成免费的证书
acme.sh 实现了 acme 协议,可以从 Let's Encrypt 生成免费的证书,内含完整源代码
02-22
生成证书 acme.sh 实现了 acme 协议支持的所有验证协议,有两种方式验证: http 验证 和 dns 验证。 1. http 方式 http 方式需要在你的网站根目录下放置一个文件,来验证你的域名所有权,完成验证后就可以生成证书。...
使用acme.sh生成免费数字证书
古达的博客
03-21 250
使用acme.sh生成免费自动续期的数字证书
acme云服务器生成证书_如何让docker 部署的nginx上通过acme.sh安装ssl/https 证书
weixin_39538693的博客
12-20 1333
本篇文章是教大家如何在docker部署的nginx上通过acme.sh安装ssl/https 证书。由于文中例子是通过acme.shhttp验证方式生成证书,所以在此之前,必须保证你的网站能通过http访问。目录&流程[toc]1.服务器环境介绍首先介绍我当前的服务器环境。1) 阿里云ecs,系统:centos 72) 使用docker-compose 配置的php+mysql+ngin...
使用acme sh(手动验证)生成Let‘s Encrypt 证书
qq_46558284的博客
03-25 1188
使用acme.sh(手动DNS验证)生成Let's Encrypt 证书
使用 acme.sh 生成ssl证书
小小的木头人的博客
12-08 567
【代码】使用 acme.sh 生成ssl证书
关于acme.sh生成证书
luchengwei521的博客
02-02 1092
关于acme.sh生成证书 首先介绍下这个东西: acme.sh 实现了 acme 协议, 可以从 letsencrypt 生成免费的证书 本文目录: 安装 acme.sh 生成证书 copy 证书到 nginx/apache 或者其他服务 更新证书 更新 acme.sh 出错怎么办, 如何调试 下面详细介绍. 安装比较简单,我使用的是一个命令 curl https://get.acme.s...
acme.sh 生成免费证书,维护证书
qi琪的专栏
12-03 3709
shell脚本从Let’s Encrypt 或 zerossl 两个颁发证书的源站,获取ssl证书, 并定期维护的一个开源产品。在证书过期前,自动更新。为我们带来了开源的便利, 同时也节省了维护证书的所花的时间成本。安装acme.sh 这里my@example.com可以随便填, 个人建议还是用自己的邮箱,本人的一个域名因为特殊字符没有自动更新, 会提前发邮件通知到。下载生成证书 www.mydomain.com是申请证书的域名, /home/wwwroot/mydomain.com 是域名对应的项目
ACME生成免费证书,默认自动续期
Charles的专栏
03-20 879
除了使用dns的方式外,还可以使用http的方式来生成证书(如果不想通过网站根目录来验证,那么需要单独添加一个location来保证acme可以访问到生成的文件)由于acme被ZeroSSL收购,所以默认的证书服务商是ZeroSSL,但是此证书生成时会携带邮箱,因此更换为letsencrypt。申请好的账号信息(AliyunDNSFullAccess权限),填写在acme的account.conf文件中。acme默认生成的是ECC证书,如果需要生成RSA的证书,需要在原有的命令后面添加。
acme.sh注册免费的ssl证书
yunxiaobaobei的博客
03-30 1457
先决条件:首先我们需要有一个域名和一台有公网IP的服务器安装acme.sh启用别名说明:acme.sh 会安装到 ~/.acme.sh 目录下。安装成功后执行 source ~/.bashrc以确保脚本所设置的命令别名生效。
centos使用acme.sh快速配置Let‘s Encrypt 泛域名https证书
小刚刚技术博客
03-16 2084
前言 2018年1月份Letsencrypt可以申请泛域名证书,这让我们部署多域名、多站点https省了很多功夫,终于可以不用维护多个域名的https证书。笔者以acme.sh为例,手把手教你配置https证书~ 本教程适用于centos 6.x的linux服务器 acme.sh acme.sh是国人开发的基于ACME协议的shell脚本,有了它可以很方便的从Letsencrypt生成免费的证书 详细步骤 一: 安装acme.sh curlhttps://get.acme.sh|...
使用acme.sh申请Let‘s Encrypt免费的SSL证书
qq_36134996的博客
09-15 1278
使用acme.sh申请Let's Encrypt免费的SSL证书说明:Let's Encrypt —— 是一个由非营利性组织 互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA),简单的说,就是为网站提供免费的 SSL/TLS 证书acme.sh 实现了 acme 协议,可以从letsencrypt生成免费的证书。接下来将为大家介绍怎样申请Let's Encrypt通配符证书。步骤:一、安装 acme.shcurl https://get.acme.sh |
acme.sh 删除生成证书
最新发布
03-28
acme.sh是一个开源的自动化证书管理工具,用于生成和管理SSL/TLS证书。它支持多种证书颁发机构(CA)和验证方法,可以轻松地获取和更新证书。 要删除acme.sh生成证书,可以按照以下步骤进行操作: 1. 打开终端或命令行界面。 2. 导航到acme.sh的安装目录。默认情况,它通常安装在用户的家录下的.acme.sh文件夹中。 3. 运行以下命令删除证书: ``` ~/.acme.shme.sh --remove -d example.com ``` 其中,example.com是要删除证书的域名。你可以将其替换为你要删除的实际域名。 4. acme.sh将删除与该域名相关的证书文件和配置信息。 请注意,删除证书后,你将无法再使用该证书进行SSL/TLS加密通信。如果你需要重新生成证书,请参考acme.sh的文档或使用相应的命令重新生成证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值