1、Let's Encrypt
申请过SSL证书的人应该对Let's Encrypt这个证书颁发机构不陌生,它免费,而且也被各大浏览器所支持和认可.但一般我们申请到的都单域或双域(www和主域名)的证书.这样一来,我们需要做全站SSL的工作量就会超级大!有没有一个办法,像DNS解析一样,用*.staryjie.com的方式,让全站共用一个SSL证书。
2、安装acme.sh
acme.sh是一个实现了 acme 协议的脚本,可以从 Let's Encrypt 生成我们需要的泛解析SSL证书.当然,你用来生产普通证书也是没有问题的。
本文仅对使用域名提供/解析商的 API Token 来自动申请泛域名证书的过程进行讲解,acme.sh还有很多很强大的功能例如配合 Nginx 或者 Apache 自动申请证书等,请自行查看 github 项目 wiki 发掘。
项目链接:Github - acme.sh
安装方法:
curl https://get.acme.sh | sh
# 或者
wget -O- https://get.acme.sh | sh
安装过程中可能会出现要你安装socat的警告,可以忽略。
安装过程不会修改已有的任何系统功能和文件,请放心食用. acme.sh在程序结束后会被自动安装到~/.acme.sh/目录中,你也可以随时删除该目录,不会影响到系统。
3、获取API Token
由于acme.sh对域名解析/提供商的支持十分广泛,所以请针对自己所在的域名提供商获取对应的API Token。
支持列表:点我跳转
国内目前使用较多的是腾讯云和阿里云,获取API Token的方法分别是:
-
腾讯的
DNSPod登录DNSPod,进入顶部导航栏里的用户中心,在左侧的导航栏里,找到
安全设置,看到页面的最下面,有个API Token.点击查看->创建API Token->填写Tokens名称,复制好ID与Token即可.保存待用。 -
阿里云域名
需要登录到阿里云官网获取Ali_Key和Ali_Secret。点击此处跳转
4、配置acme.sh
获取到对应的API Token之后我们需要将id和key设置为环境变量,供acme.sh调用:
# DNSPod
export DP_Id="你的 API ID"
export DP_Key="你的 Token"
# aliyun
export Ali_Key="你的 AccessKey ID"
export Ali_Secret="你的 AccessKey Secret"
如果你的域名提供商不是DNSPod或者阿里云,其他域名提供商变量名一览表:点我查看
临时环境变量只需配置这一次即可,当成功申请证书后,API 信息会被自动保存在~/.acme.sh/account.conf里,下次你使用acme.sh的时候系统会自动读取并使用。
5、申请泛域名解析证书
# DNSPod
cd ~/.acme.sh/
# 或者 alias acme.sh=~/.acme.sh/acme.sh
acme.sh --issue -d example.com -d *.example.com --dns dns_dp
# 多个域名只需要"-d 你的域名"即可
# aliyun
cd ~/.acme.sh/
# 或者 alias acme.sh=~/.acme.sh/acme.sh
acme.sh --issue --dns dns_ali -d example.com -d *.example.com
注意:不同的域名解析商所用命令有细微不同!如果你的提供商不是
DNSPod,请自行去上面的链接查看!
申请完成后屏显会输出证书路径。
可能会遇到的报错:
解决办法:
# 升级curl
yum install -y curl
如果升级curl之后还是如上图的报错,则可以尝试修改域名的DSN设置:
修改之后需要等十分钟左右。
6、将证书安装到指定的目录
默认生成的证书都放在安装目录下: ~/.acme.sh/,这个目录一般来说不能让nginx或Apache直接使用。所以我们需要将证书放到一个指定的目录,scrm用nginx配置,本例是指定在/etc/nginx/ssl/目录下。
mkdir /etc/nginx/ssl
acme.sh --installcert -d staryjie.com
--keypath /etc/nginx/ssl/staryjie.com.key
--fullchainpath /etc/nginx/ssl/staryjie.com.key.pem
--reloadcmd "service nginx force-reload"
7、配置NGINX使用证书
7.1 生成 dhparam.pem 文件
openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048
7.2 修改nginx配置文件
/etc/nginx/conf.d/bark.conf
server {
listen 80 default_server;
listen [::]:80 default_server;
listen 443 ssl;
server_name notice.staryjie.com;
ssl_certificate /etc/nginx/ssl/staryjie.com.key.pem;
ssl_certificate_key /etc/nginx/ssl/staryjie.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
location / {
proxy_pass_header Server;
proxy_set_header Host $http_host;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Scheme $scheme;
proxy_pass http://127.0.0.1:8888;
}
}
重载配置文件:
systemctl reload nginx.service
测试:
8、证书更新
Let s Encrypt 的证书有效期是 90 天的,需要定期重新申请,不过acme在安装的时候就已经设置了自动更新,所以这一步不用关心,很省心。
目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心。
9、acme.sh的自动更新
acme.sh --upgrade --auto-upgrade
关闭自动更新:
acme.sh --upgrade --auto-upgrade 0