Let’s Encrypt两种域名验证方式
1. DNS验证:配置一个随机的 TXT 记录来验证
2. 文件验证:配置一个随机的 URL 地址来验证
泛域名通用证书只能使用DNS TXT记录验证,acme.sh支持多种dnsapi我使用的是阿里云DNS,可以根据你的域名服务商进行选择支持列表。
安装 acme.sh
curl https://get.acme.sh | sh -s email=my@example.com
my@example.com 改为你自己的邮箱地址用于接收通知。
acme.sh自动为你创建定时任务, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书。
配置阿里云AK
设置临时系统变量
#你的阿里云AccessKeyId export Ali_Key="AccessKeyId" #你的AccessKeySecret export Ali_Secret="AccessKeySecret"
颁发证书
可以进行单域名、多域名、泛域名进行颁发。
acme.sh --issue --dns dns_ali -d chunblog.com -d *.chunblog.com
这里会使用dnsapi自动添加TXT记录,进行域名的 DNS 验证,中间会等待 2分钟左右来验证正确性,验证完成后记录会自动删除。
出现Cert success表示成功 后面会有证书存放路径。
复制/安装证书
Nginx
acme.sh --dns dns_ali -d chunblog.com -d *.chunblog.com\ --install-cert\ --key-file /www/cert/chunblog.com/key.pem\ --fullchain-file /www/cert/chunblog.com/cert.pem\ --reloadcmd "/etc/init.d/nginx reload"
参数说明
–install-cert 将颁发的证书安装到 apache/nginx 或任何其他服务器。
–key-file 发行/续订后将密钥文件复制到的路径。
–fullchain-file 发布/续订后将全链证书文件复制到的路径。
–reloadcmd 发布/更新后重新加载服务器后要执行的命令
然后修改Nginx配置文件使用 /www/cert/chunblog.com/key.pem、/www/cert/chunblog.com/cert.pem即可
server { listen 80; listen 443 ssl http2; server_name chunblog.com www.chunblog.com; index index.php index.html index.htm; root /www/chunblog.com; ssl_certificate /www/server/panel/vhost/cert/chunblog.com/fullchain.pem; ssl_certificate_key /www/server/panel/vhost/cert/chunblog.com/privkey.pem; ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; #禁止访问的文件或目录 location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md) { return 404; } location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { expires 30d; error_log /dev/null; access_log /dev/null; } location ~ .*\.(js|css)?$ { expires 12h; error_log /dev/null; access_log /dev/null; } access_log /www/wwwlogs/chunblog.com.log; error_log /www/wwwlogs/chunblog.com.error.log; }
安装acme.sh时已自动创建定时任务,证书到期前会自动更新证书并重载Nginx配置使证书生效。