自动化部署证书 acme.sh 详细实践使用教程
前言
博主之前一直是使用手动的方式去申请和续签Let's Encrypt泛域名SSL证书.最近为了更方便的自动化部署,详细研究使用了acme.sh这个项目,并成功自动申请了多个域名证书.同时该项目还能够自动续签证书,自动安装证书,支持广泛的环境和场景的部署,功能非常强大.
部署简介
域名证书的申请其实非常简单,只需证明域名的所有权,证书颁发机构即可为你颁发免费的证书文件.整个流程用户最繁琐的步骤就是验证域名的所有权,一般可分为http和DNS两种.http方式是将随机生成的验证文件放入网站的根目录,由机构扫描验证.而DNS方式则是将随机生成的验证码创建域名的TXT记录由机构扫描验证.验证通过即可颁发证书.
acme.sh 可以帮用户简化所有权验证的步骤.根据用户提供的Web 路径或者域名 DNS 的API,来自动为用户创建验证文件或验证 TXT 记录.并将颁发的证书部署到指定的环境,同时支持到期续签以保持域名有效期.
整个部署流程非常简单,具体为以下三个步骤:
准备 DNS API
安装 acme.sh
执行申请部署命令
准备 DNS API
通过使用域名服务商提供的 API 密钥,让acme.sh自动创建域名验证记录以申请域名证书. acme.sh 支持全球各种域名服务商的 API ,本文将以阿里云,腾讯云,Cloudflare为例.更多 DNS API 支持,请查看:官方dnsapi
阿里云
登陆阿里云控制台 - 访问控制 RAM - 用户管理
新建用户并勾选为该用户自动生成AccessKey
授权该用户,搜索DNS,并将AliyunDNSFullAccess移动至右侧确定.
根据官方dnsapi获取阿里云的API格式为:
export Ali_Key="LTAI4Fd8J9qs4fxxxxxxxxxx" export Ali_Secret="Xp3Z7NDOW0CJcPLKoUwqxxxxxxxxxx"
腾讯云
腾讯云的域名由dnspod.cn管理,登陆管理控制台,右上角选择密钥管理,创建密钥并复制保存好生成的ID和Token.
根据官方dnsapi获取DNSPod.cn的API格式为:
export DP_Id="124xxx" export DP_Key="54ddaa41245837600ce713xxxxxxxxxx"
Cloudflare
登陆 Cloudflare 点域名进入,右侧有如下图 API 信息.首先复制保存Account ID.然后点击Get your API token.
点击Create Token创建新 API Token,具体参考如下:
根据官方dnsapi获取CloudFlare的Using the new cloudflare api token格式为:
export CF_Token="PfCA6tyLxxxxxxxx-sS6ANgqzuVexxxxxxx" export CF_Account_ID="1fs48ec7e2063cb70hacc3xxxxxxxxxx"
一键脚本部署
安装脚本
登陆 VPS 服务器使用官方一键安装脚本安装acme.sh
wget -O - https://get.acme.sh | sh
配置 DNS API
acme.sh 程序目录为隐藏目录.acme.sh存放在root下.执行以下命令进入目录,并编辑account.conf,根据上文获取的 API 格式,复制粘贴到文件中保存.
cd ~/.acme.sh vi account.conf
申请证书
自动 DNS 模式标准命令:
acme.sh --issue --server letsencrypt --dns dns_dp -d example.com -d www.example.com
其中dns_dp为 腾讯云DNSPod.cn 服务商,自行根据官方dnsapi修改.例如:dns_ali为阿里云,dns_cf为CLoudflare.
以本站域名ioiox.com为例,申请泛域名证书.执行以下命令:
acme.sh --issue --server letsencrypt --dns dns_dp -d ioiox.com -d *.ioiox.com
自动部署
acme.sh 还支持自动部署证书到指定目录并重启nginx或apache服务,以确保新证书生效.官方参考如下:
acme.sh --installcert -d example.com \ --key-file /path/to/keyfile/in/nginx/key.pem \ --fullchain-file /path/to/fullchain/nginx/cert.pem \ --reloadcmd "service nginx force-reload"
博主的服务器使用的是军哥 LNMP环境,其中证书路径为/usr/local/nginx/conf/ssl,重载命令为nginx -s reload.参考命令为:
acme.sh --installcert -d ioiox.com \ --key-file /usr/local/nginx/conf/ssl/ioiox.com.key \ --fullchain-file /usr/local/nginx/conf/ssl/ioiox.com.cer \ --reloadcmd "nginx -s reload"
更多环境部署直接参考官方文档的参数配置.
自动续签证书
由于 Let's Encrypt 的证书有效期为三个月.为避免证书失效 acme.sh 会每60天根据你的历史申请记录和部署记录重新续签证书并部署.
docker 部署
作为忠实的docker fans,推荐使用 docker 容器部署,支持以下两种方式:
docker executable 执行模式
docker daemon 守护模式
docker executable 执行模式
手动创建~/acme.sh目录,并创建account.conf文件,粘贴 API 信息.执行以下命令:
docker run --rm -it \ -v ~/acme.sh:/acme.sh \ neilpang/acme.sh --issue --server letsencrypt --dns dns_dp \ -d aaa.com \ -d *.aaa.com \ -d bbb.com \ -d *.bbb.com \ -d ccc.com \ -d *.ccc.com
docker daemon 守护模式
守护模式启动命令,将DNS API 配置文件和证书文件挂载到root目录下的acme.sh中.
docker run -itd \ -v ~/acme.sh:/acme.sh \ --net=host \ --name=acme.sh \ --restart=always \ neilpang/acme.sh daemon
进入~/acme.sh目录,手动创建account.conf文件并粘贴 API 信息.执行以下命令申请证书:
docker exec acme.sh --issue --server letsencrypt --dns dns_dp \ -d aaa.com \ -d *.aaa.com \ -d bbb.com \ -d *.bbb.com \ -d ccc.com \ -d *.ccc.com
结语
生成的证书文件务必使用含有完整证书链的fullchain.cer和域名.key来部署,避免因证书不完整出现的错误.博主就是因为出现过几次证书问题才决心研究使用此方案.以上即是博主近期使用的经历,分享给大家以供参考.当然 acme.sh 还有很多的玩法请参考官方项目:
本站提供免费和付费的技术支持.你可以通过留言,邮件,QQ的方式来进行技术交流和免费咨询.同时也可以付费支持的方式获得相关的技术支持,项目部署配置等服务.具体相关详情请点击查看 技术支持页面
