三个多月没写文章了,上半年经历了被裁员,找工作,入职,转正等一系列事情,目前总算是尘埃落定了,继续开始搞创作🤗
通过 https 协议访问网站时,SSL 证书确保了数据传输的安全性。目前,大多数云服务提供商提供的免费证书有效期只有 90 天,想要更长时间的证书则需要付费。这意味着每隔 90 天就需要重新签发并替换证书文件。
折腾一番后,我找到了一个免费且优雅的方案,只需要在服务器上安装相关脚本,就能申请到免费的域名证书,它会定期检查证书的有效期,实现到期自动续期与更新,从而有效地获得了一个“永久”的证书。
本文就跟大家详细分享下这个方案,欢迎各位感兴趣的开发者阅读本文。
我们需要用到ACME这个程序来完成证书的申请与签发。
首先,我们需要通过SSH
连接到服务器,通过以下命令来安装:
curl https://get.acme.sh | sh
安装程序会自动做以下操作:
acme.sh
安装到你的 home 的.acme.sh
目录下,即~/.acme.sh/
alias acme.sh=~/.acme.sh/acme.sh
因为 acme 已经被 ZeroSSL 收购,其默认的证书方式为 ZeroSSL ,但此证书生成时会携带邮箱,因此需要更换为letsencrypt
acme.sh --set-default-ca --server letsencrypt
泛域名证书是一种能够为同一个主域名(例如 kaisir.cn )下的所有子域名(如 www.kaisir.com 、resource.kaisir.cn 等)提供安全加密的数字证书。能够通过一个单一的证书来保护主域名及其所有子域名的数据传输,使得网站管理者无需为每个子域名分别购买和管理多个 SSL 证书。
通过 acme 申请的证书,可以绑定满足该通配符型规则的任意三级子域名,例如:
www.kaisir.cn
test.kaisir.cn
aaa.kaisir.cn
bb.kaisir.cn
...
如果你对数字证书比较感兴趣,可以移步我的另一篇文章:数字证书的理解
acme 提供的泛域名证书只能通过 dns 的形式来做验证,因此我们需要进入域名解析控制台(你可以在此处找到你的域名解析提供商)创建 API ID 和 API Key 。
我这里以阿里云为例,登录成功后,去到阿里云的RAM 访问控制面板来创建用户。
由于每个平台的环境变量名称是不一样的,因此你需要去acme-dnsapi 网站里找到你平台的变量名。我这里以阿里云为例,将 key 和 secret 换成上一步创建的即可。
export Ali_Key="key"
export Ali_Secret="secret"
做完上述操作后,我们的准备工作就做完了,可以使用acme.sh脚本来创建证书了。
acme.sh --issue --dns dns_ali -d kaisir.cn -d '*.kaisir.cn' --dnssleep 300 --debug
--dns
用于指定 dns 校验平台,我这里是阿里云-d
是你的网站主域名,第二个是泛域名 --dnssleep
用于等待操作,因为把 txt 添加到后台,解析不一定能做到立刻生效,所以需要延时一下,此处我设置了 300 秒的延时,执行命令的过程会有个等待倒计时。 --debug
开启调试模式,创建过程中会打印详细的日志出来,方便定位错误。创建成功后,你将看到如下所示的内容:
最后,我们只需要找到创建好的证书,将其在服务器上的路径填写到 nginx 中即可。脚本会在证书快到期时,自动续期并创建相关文件。
本章节将以我的服务器为例,跟大家分享下如何去做相关的配置。
如果你的服务是直接运行在宿主机上的,请跳过这一步。
我的服务是运行在 docker 容器里的,因此需要先把服务器的证书路径映射进容器中,此处我以docker-compose
为例,在volumes
节点下添加映射即可。
nginx-server:
image: nginx:1.18.0
container_name: local_nginx
volumes:
- /root/.acme.sh/kaisir.cn_ecc:/usr/share/acme
注意:如果你只使用了 docker ,则需要在运行
docker run
指令时,通过添加-v
参数来添加路径映射,例如docker run -v /root/.acme.sh/kaisir.cn_ecc:/usr/share/acme
。
/root/.acme.sh/kaisir.cn_ecc
是宿主机上的路径/usr/share/acme
是容器内部的路径如果你对 docker 不是很了解,可以移步我的另一篇文章:使用 docker 来编排 Web 应用
随后,我们就可以打开nginx的配置文件,指定ssl 证书的位置即可。
/usr/share/acme/
就是我们上一步所映射出来的路径fullchain.cer
就是我们申请到的泛域名证书server {
# 配置 ssl 证书
ssl_certificate /usr/share/acme/fullchain.cer;
ssl_certificate_key /usr/share/acme/kaisir.cn.key;
}
最后,我们重启 nginx ,通过浏览器访问网站就能看到证书信息了🤗
至此,文章就分享完毕了。
我是神奇的程序员,一位前端开发工程师。
如果你对我感兴趣,请移步我的个人网站,进一步了解。
1
yuezk 165 天前
人生苦短,我用 Caddy 。https://caddyserver.com/
|
3
bugfan 165 天前
这看着太繁琐了。。。。有个免安装 acme ,免申请 dns api key 的工具。很方便
https://www.i996.me 或者关注微信公众号 进去配置你的域名,然后执行一条命令就拉下来证书了,啥都不用安装。 😊 可以试试 |
4
NIOB 165 天前
最后一步证书路径和 nginx 配置确定之后可以用 acme install 命令去自动化执行(包含自定义后续指令)。
|
5
root71370 165 天前
人生苦短 我用 1panel
|
6
BugCry 165 天前
人生苦短 我用 traefik
|
7
BaymaxK OP 文章中阿里云的 ram 控制台授权那里给的权限太多了,其实只用给一个就可以了,v 站没法更新了,原文已经更正错误了。原文地址: https://www.kaisir.cn/post/178
|
8
BanShe 164 天前
人生苦短 我用 caddy
|
9
skyrim61 164 天前
里面有个坑, 阿里云权限授权, 应该是给 管理 DNS 解析, 而不是 OP 截图里面的!
|