概述
自动更新证书, 进行配Nginx学习笔记 (2021.09.26)
使用开源的 acme.sh
1.0 安装 acme
[root@VM-0-9-centos]# wget -O - https://get.acme.sh | sh -s email=my@example.com
在官网成功安装的方式
如果下载成功, 下载到的位置是/root/.acme.sh/
在线安装失败的方式
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zxzXALlz-1612798725754)(https://s3.ax1x.com/2021/01/30/yFEnL8.jpg)]
我是通过下载源码包https://github.com/acmesh-official/acme.sh/tags , 获取其
acme.sh文件上传上去服务器进行配置证书的
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YEBmyKM6-1612798725757)(https://s3.ax1x.com/2021/01/30/yFEfTe.jpg)]
1.1 配置安装 (在线成功无需)
[root@VM-0-9-centos home]# ./acme.sh --install --home ~/zhihao_myacme --config-home ~/zhihao_myacme/data --cert-home ~/zhihao_mycerts --accountemail "zhihao@objectmail.com" --accountkey ~/zhihao_myaccount.key --accountconf ~/zhihao_myaccount.conf
您不需要全部设置它们,只需设置您关心的那些。
说明:
--home是要安装的自定义目录acme.sh。默认情况下,它安装到~/.acme.sh--config-home是一个可写文件夹,acme.sh将在其中写入所有文件(包括cert / keys,configs)。默认情况下--home--cert-home是自定义的目录,用于保存您颁发的证书。默认情况下,它保存在中--config-home。--accountemail是用于向Let’s Encrypt注册帐户的电子邮件,您将在此处收到续订通知电子邮件。默认为空。--accountkey是保存您帐户私钥的文件。默认情况下,它保存在中--config-home。--useragent是用于发送到“让我们加密”的用户代理标头值。
安装完成后: 会生成在
/root目录下
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0vglk2PK-1612798725758)(https://s3.ax1x.com/2021/01/30/yFVyNQ.jpg)]
然后看一下有没有生效。
[root@VM-0-9-centos zhihao_myacme]# acme.sh -h
https://github.com/acmesh-official/acme.sh
v2.8.8
Usage: acme.sh <command> ... [parameters ...]
Commands:
-h, --help Show this help message.
-v, --version Show version info.
--install Install acme.sh to your system.
--uninstall Uninstall acme.sh, and uninstall the cron job.
--upgrade Upgrade acme.sh to the latest code from https://github.com/acmesh-official/acme.sh.
--issue Issue a cert.
--deploy Deploy the cert to your server.
-i, --install-cert Install the issued cert to apache/nginx or any other server.
-r, --renew Renew a cert.
--renew-all Renew all the certs.
--revoke Revoke a cert.
--remove Remove the cert from list of certs known to acme.sh.
2. 生成证书
acme.sh 实现了 acme 协议支持的所有验证协议. 一般有两种方式验证: http 和 dns 验证.
2.1. http 方式需要在你的网站根目录下放置一个文件, 来验证你的域名所有权,完成验证. 然后就可以生成证书了.
acme.sh --issue -d mydomain.com -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/
只需要指定域名, 并指定域名所在的网站根目录. acme.sh 会全自动的生成验证文件, 并放到网站的根目录, 然后自动完成验证. 最后会聪明的删除验证文件. 整个过程没有任何副作用.
如果你用的 apache服务器, acme.sh 还可以智能的从 apache的配置中自动完成验证, 你不需要指定网站根目录:
acme.sh --issue -d mydomain.com --apache
如果你用的 nginx服务器, 或者反代, acme.sh 还可以智能的从 nginx的配置中自动完成验证, 你不需要指定网站根目录:
acme.sh --issue -d mydomain.com --nginx
注意, 无论是 apache 还是 nginx 模式, acme.sh在完成验证之后, 会恢复到之前的状态, 都不会私自更改你本身的配置. 好处是你不用担心配置被搞坏, 也有一个缺点, 你需要自己配置 ssl 的配置, 否则只能成功生成证书, 你的网站还是无法访问https. 但是为了安全, 你还是自己手动改配置吧.
如果你还没有运行任何 web 服务, 80 端口是空闲的, 那么 acme.sh 还能假装自己是一个webserver, 临时听在80 端口, 完成验证:
acme.sh --issue -d mydomain.com --standalone
2.2 个人使用nginx服务器方式
2.2.1 配置nginx的域名配置文件
编辑:
/etc/nginx/nginx.conf文件, 增加节点, 配置可以通过HTTP_域名方式访问到nginx, 然后检测配置, 之后重新加载nginx
server {
listen 80;
listen [::]:80;
# 对应的域名
server_name zhihao.plus;
root /usr/share/nginx/html;
location / {
}
}
检查配置是否有误
sudo nginx -t, 修改 Nginx 配置后,重新加载sudo systemctl reload nginx
2.2.2 自动寻找配置文件来进行签发
[root@VM-0-9-centos zhihao_myacme]# acme.sh --issue -d zhihao.plus --nginx
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-I6gDiJCQ-1612798725761)(https://s3.ax1x.com/2021/02/08/yam2E4.jpg)]
3. copy/安装 证书
前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方.
注意, 默认生成的证书都放在安装目录下:
~/.acme.sh/, 请不要直接使用此目录下的文件, 例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件. 这里面的文件都是内部使用, 而且目录结构可能会变化.正确的使用方法是使用
--install-cert命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:
Apache example (省略)
Nginx example(拷贝证书):
acme.sh --install-cert -d example.com
--key-file /path/to/keyfile/in/nginx/key.pem
--fullchain-file /path/to/fullchain/nginx/cert.pem
--reloadcmd "service nginx force-reload"
(一个小提醒, 这里用的是
service nginx force-reload, 不是service nginx reload, 据测试,reload并不会重新加载证书, 所以用的force-reload)Nginx 的配置
ssl_certificate使用/etc/nginx/ssl/fullchain.cer,而非/etc/nginx/ssl/<domain>.cer,否则 SSL Labs 的测试会报Chain issues Incomplete错误。
--install-cert命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效.详细参数请参考: https://github.com/Neilpang/acme.sh#3-install-the-issued-cert-to-apachenginx-etc
值得注意的是, 这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用.
3.1 个人使用Nginx拷贝证书方式
3.1.1 创建存放证书的文件夹
/usr/local/zhihao_SSL/fullchain 与 /usr/local/zhihao_SSL/keyfile
3.1.2 copy证书
[root@VM-0-9-centos zhihao_myacme]# acme.sh --install-cert -d zhihao.plus
--key-file /usr/local/zhihao_SSL/keyfile/key.pem
--fullchain-file /usr/local/zhihao_SSL/fullchain/cert.pem
--reloadcmd "service nginx force-reload"
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UsJJJGz2-1612798725762)(https://s3.ax1x.com/2021/02/08/yanZ2q.jpg)]
3.1.3 配置Nginx 的HTTPS配置
server {
#ssl 需要监听443端口
listen 443 ssl;
# CA证书对应的域名
server_name zhihao.plus;
# 服务器证书密匙绝对路径
ssl_certificate /usr/local/zhihao_SSL/fullchain/cert.pem;
# 服务器端证书key绝对路径
ssl_certificate_key /usr/local/zhihao_SSL/keyfile/key.pem;
# session超时
ssl_session_timeout 5m;
# 协议类型
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# ssl算法列表
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
# 是否 服务器决定使用哪种算法 on/off TLSv1.1 的话需要开启
ssl_prefer_server_ciphers on;
location ^~ /csdn {
# 请注意此处端口号不能与虚拟主机监听的端口号一样(也就是nginx listen监听的端口)
rewrite ^(.*) https://me.csdn.net/weixin_44600430;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;
#后端的Web服务器可以通过X-Forwarded-For获取用户真实IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
# 如果用户通过 http 访问 直接重写 跳转到 https 这个是一个很有必要的操作
server {
listen 80;
listen [::]:80;
# CA证书对应的域名
server_name zhihao.plus;
# rewrite ^/(.*)$ https://zhihao.plus:443/$1 permanent;
}
检查配置是否有误
sudo nginx -t, 修改 Nginx 配置后,重新加载sudo systemctl reload nginx, 进行访问
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-doxx8ECw-1612798725763)(https://s3.ax1x.com/2021/02/08/yauKSI.jpg)]
4. 更新证书
目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.
或者输入定时命令查看
crontab -l
[root@VM-0-9-centos zhihao_myacme]# crontab -l
45 0 * * * "/root/myacme"/acme.sh --cron --home "/root/myacme" --config-home "/root/myacme/data" > /dev/null
强制更新
[root@VM-0-9-centos zhihao_myacme]# acme.sh --renew -d zhihao.com --force
5. 更新 acme.sh
目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.
升级 acme.sh 到最新版 :
acme.sh --upgrade
如果你不想手动升级, 可以开启自动升级:
acme.sh --upgrade --auto-upgrade
之后, acme.sh 就会自动保持更新了.
你也可以随时关闭自动更新:
acme.sh --upgrade --auto-upgrade 0
6. 停止更新证书
查看证书列表
acme.sh --list
停止 Renew
acme.sh --remove -d zhihao.com [--ecc]
之后手动把目录下的证书移除就行。
1
最后
以上就是故意哈密瓜为你收集整理的使用自动更新https证书, 进行配Nginx学习笔记 (2021.02.08)自动更新证书, 进行配Nginx学习笔记 (2021.09.26)的全部内容,希望文章能够帮你解决使用自动更新https证书, 进行配Nginx学习笔记 (2021.02.08)自动更新证书, 进行配Nginx学习笔记 (2021.09.26)所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复