这两种方式的原理是一样的,通过免费的ssl证书网站获取免费证书 。
| 方式 | 证书来源 | 特点 |
| acme.sh | https://letsencrypt.org/ | 可以自动更新,有时候会被墙,不稳定 |
| keyManager | https://freessl.cn/ | 安装稳定 |
下面记录一下用法:
一、acme.sh
acme.sh 实现了 acme 协议, 可以从 letsencrypt 生成免费的证书.
github地址:https://github.com/Neilpang/acme.sh/wiki/%E8%AF%B4%E6%98%8E#1-%E5%AE%89%E8%A3%85-acmesh
1. 安装 acme.sh
安装很简单, 一个命令:
curl https://get.acme.sh | sh
普通用户和 root 用户都可以安装使用. 安装过程进行了以下几步:
- 把 acme.sh 安装到你的 home 目录下:
~/.acme.sh/
并创建 一个 bash 的 alias, 方便你的使用: alias acme.sh=~/.acme.sh/acme.sh
2). 自动为你创建 cronjob, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书.
2. 生成证书
acme.sh 实现了 acme 协议支持的所有验证协议. 下面 提供nginx的验证方式
acme.sh --issue -d mydomain.com --nginx3. copy/安装 证书
前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方.
正确的使用方法是使用 --installcert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:
acme.sh --installcert -d <domain>.com
--key-file /etc/nginx/ssl/<domain>.key
--fullchain-file /etc/nginx/ssl/fullchain.cer
--reloadcmd "service nginx force-reload"
(一个小提醒, 这里用的是 service nginx force-reload, 不是 service nginx reload, 据测试, reload并不会重新加载证书, 所以用的 force-reload)
Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer ,而非 /etc/nginx/ssl/<domain>.cer ,否则 SSL Labs 的测试会报 Chain issues Incomplete 错误。
4. 更新证书
目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.
5. 更新 acme.sh
目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.
升级 acme.sh 到最新版 :
acme.sh --upgrade
如果你不想手动升级, 可以开启自动升级:
acme.sh --upgrade --auto-upgrade
之后, acme.sh 就会自动保持更新了.
你也可以随时关闭自动更新:
acme.sh --upgrade --auto-upgrade 0二、keyManager
1、首先去 https://freessl.cn 注册一个账号
2、安装keyManager
3、在 https://freessl.cn 首页申请输入你需要申请的证书的域名,选择验证方式
4、页面会提示打开keyManager
5、打开keyManager之后会提示你返回浏览器进行验证,下载验证文件,放入你的服务器中,使其可以被访问到
6、放置好后,点击验证,通过之后,该证书就申请成功了。在证书管理中选择你刚申请的证书,点击查看详情可以导出你需要的证书,可以选择多种类型
7、其实,也可以直接在keyManager中绑定你的freessl账号,直接在keyManager中申请证书
