专栏首页Think & DifferentLet's Encrypt免费泛域名SSL证书申请及自动续签
原创

Let's Encrypt免费泛域名SSL证书申请及自动续签

Let's Encrypt: https://letsencrypt.org , 是一个免费的、自动化的、开放的证书颁发机构。截至2018年9月,它的全球SSL证书市场份额已超过50%,得到主流浏览器和厂商的认可与支持。

Let's Encrypt证书提供免费的申请,但没有高额的安全保险,不具备点对点的技术支持,而且申请过程比较复杂,适合具有一定的专业知识的个人站长申请。并且每次申请到的SSL证书有效期只有90天,但是可以通过脚本实现提前自动续约达到自动化永久免费使用的目的。

在2018年5月,Let's Encrypt发布了免费泛域名通配符SSL证书:https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579 ,在HTTPS全面普及的当下,越来越多的开发者选择了Let's Encrypt证书。

想要实现免费泛域名SSL证书申请及其自动续签,需要以下材料:

  • 一枚域名
  • 一台服务器(用以执行申请与自动续签脚本,且Web服务运行在此服务器上)

本文将以 *.qq.com 为例进行泛域名证书申请演示

一、证书申请

Let's Encrypt官方提供了一系列的申请方法文档,但流程比较复杂,为了简化申请流程,我们可以在Github上找到这个仓库:https://github.com/Neilpang/acme.sh

acme.sh 的具体使用说明见:https://github.com/Neilpang/acme.sh/wiki/说明

接下来,我们就利用 acme.sh 对证书进行申请。

1、安装 acme.sh

进入服务器,执行命令:

$ curl  https://get.acme.sh | sh

普通用户和root用户都可以安装使用,安装脚本其实是进行了如下操作:1)会把 acme.sh 安装到你所执行命令用户的用户目录下: ~/.acme.sh/2)会创建 bash alias,方便你的使用:alias > acme.sh=~/.acme.sh/acme.sh3)会自动为你创建 cronjob 脚本,每天零点自动检测所有的证书,如果某证书快过期需要更新,则会自动更新该证书。

安装过程不会污染已有的系统任何功能和文件,所有后续的修改都将限制在安装目录中:~/.acme.sh/

2、验证域名并生成证书

acme.sh 实现了 acme 协议支持的所有验证协议,通常一般有几种方式验证域名:HTTP文件验证DNS验证 等,具体验证方式可查阅脚本github文档

方式1、HTTP文件验证:

$ acme.sh --issue -d qq.com -d *.qq.com -w /home/webroot

注意:对于通配符证书需要加 -d 域名 -d *.域名 两个参数-w 即webroot,为该 域名 通过http所访问到的本地目录上面这段过程将会在 /home/webroot 创建一个 .well-known 的文件夹,同时 Let’s Encrypt 将会通过你要注册的域名去访问那个文件来确定权限,它可能会去访问 http://qq.com/.well-known/ 这个路径,验证成功会自动清理。

方式2、DNS-API验证:‌ ‌通过DNS服务器提供 keysecret 实现自动验证,详情‌ ‌https://github.com/Neilpang/acme.sh/tree/master/dnsapi‌ ‌例如,在腾讯云解析的域名,请前往 https://www.dnspod.cn/console/user/security 控制台中申请子账号 API Token 并执行命令:

$ export DP_Id="6*ID*0"
$ export DP_Key="aa445e***TOKEN***5fe26e"
$ acme.sh --issue -d qq.com -d *.qq.com --dns dns_dp

注意:对于通配符证书需要加 -d 域名 -d *.域名 两个参数DP_Id DP_Key 将会保存在 ~/.acme.sh/account.conf

执行上述命令后,证书文件将会自动申请被存放在 ~/.acme.sh/ 对应的域名文件夹中,如:~/.acme.sh/qq.com 。后续 acme.sh 将会自动更新该文件夹内的证书。

3、部署nginx

参考:https://github.com/Neilpang/acme.sh/wiki/说明

1) 拷贝证书

$ acme.sh --install-cert -d qq.com \
--key-file       /etc/nginx/ssl/qq.com.key \
--fullchain-file /etc/nginx/ssl/qq.com.cer \
--reloadcmd      'service nginx force-reload'

注意:通过该命令可将 ~/.acme.sh/qq.com 内的证书copy到指定位置/etc/nginx 为nginx服务器实际的地址(可修改为自己服务器对应的地址)service nginx force-reload 为nginx重启命令(可修改为自己服务器对应的命令),force-reload 会重载证书后续 acme.sh 签发了新证书后就自动完成该拷贝过程

2) 配置nginx

Nginx-Conf‌ ‌vim /etc/nginx/conf.d/qq.com.conf

# http(80) -> https(443/ssl)
server {
    listen 80;
    server_name qq.com;
    rewrite ^(.*)$ https://$host$request_uri;
}
# qq.com
server {
    listen 443;
    server_name qq.com;
    include ssl/qq.com.ssl.conf;

    location / {
        # todo
    }
}

SSL-Conf‌ ‌vim /etc/nginx/ssl/qq.com.ssl.conf

ssl on;
ssl_certificate ssl/qq.com.cer;
ssl_certificate_key ssl/qq.com.key;

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 给一台腾讯云服务器配上多个免费外网弹性IP

    https://cloud.tencent.com/document/product/213/15379#.E7.BD.91.E5.8D.A1.E7.9B.B8...

    Cong Min
  • PHP/Node.js获取Bing每日壁纸

    Cong Min
  • SpringBoot : 全局异常配置

    但是这种异常只能处理应用级别的异常,容器级别的异常就处理不了了,比如OutOfMemorryException,如何处理呢? 详见如下代码:

    源码之路
  • 被失业!未来六大传统产业将这样被颠覆(超现实)

    未来的农业、制造业、体育、医疗、律师,甚至编辑记者行业等将迎来怎样的崭新形态?你会被失业吗?

    华章科技
  • Failed to resolve com.android.support

    刚开始自己写了一个 module demo 编译、运行都没有问题,然后又新建了一个 module,因为在新建之前看到编译好的 module 中有个 xml 文件...

    Vance大飞
  • ModuleNotFoundError: No module named 'frontend'

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    周小董
  • [WCF REST] 帮助页面与自动消息格式(JSON/XML)选择

    可以说WebHttpBinding和WebHttpBehavior是整个Web HTTP编程模型最为核心的两个类型,前者主要解决消息编码问题,而余下的工作基本上...

    蒋金楠
  • 当AI也精通了「读唇术」:戴上口罩或许是我最后的倔强

    有一个人类的本能行为,或许我们很难察觉:当因为隔得太远或者环境噪音太大而听不清对方说话的时候,你会下意识地观察对方的唇部动作,来判断这个人到底在讲什么。

    机器之心
  • python做一个简易图片下载工具

    未来sky
  • MVRP(Multiple Registration Protocol,多属性注册协议)技术

    在为网络中的所有设备都配置某些 VLAN时,需要网络管理员在每台设备上分别进行手工添加。如 图 1所示,Device A上有 VLAN 2,Device B和 ...

    网络技术联盟站

扫码关注云+社区

领取腾讯云代金券