acme.sh自动配置免费ssl泛域名证书并续期(Aliyun + Debian + nginx)
以前使用Certbot自动配置SSL证书,需要安装snap管理器再安装Certbot,期间还要去找AliDNS脚本,比较麻烦。如果不想如此,推荐使用acme.sh自动化脚本,更方便快捷。
1. 安装acme.sh
curl https://get.acme.sh | sh -s email=你的邮箱名@邮箱.***
脚本会安装home目录下:~/.acme.sh/。同时会创建一个cronjob,每天检测证书,快过期自动更新。
2. 更换证书提供商CA
默认使用ZeroSSL提供证书,可以切换到letsencrypt:
acme.sh --set-default-ca --server letsencrypt
当然,不换也行,ZeroSSL也能用。
3. 添加阿里云域名证书
注意泛域名证书不支持主域名,如"*.example.****“证书不支持"example.***”
如果不使用泛域名,有多种添加证书的方法(前提是你得有)。如:
- 使用独立服务器颁发证书
- 使用Standalone ssl服务器颁发证书
- 使用Apache模式
- 使用Nginx模式
- 使用自动DNS API集成模式
- 使用DNS手动模式
但使用泛域名,只能使用DNS API模式,且会自动更新,最为推荐:
# 先添加阿里云Aliyun的DNS api密钥到临时环境变量
export Ali_Key="你的Aliyun Api Key"
export Ali_Secret="你的Aliyun Ali_Secret"
# 注册域名和泛域名证书,默认E***证书为ec-256
acme.sh --issue --dns dns_ali -d 'example.***' -d '*.example.***'
# 上面的临时变量,在添加证书后,会保存在a***ount.conf中,后续不需要再指定
4. 将证书安装到Apache/Nginx等
生成证书后,您可能希望将证书安装/复制到您的Apache/Nginx或其他服务器。
您必须使用此命令将证书复制到目标文件,请勿使用~/.acme.sh/文件夹中的证书文件,它们仅供内部使用。
请注意设置好证书文件的权限,以后证书自动更新时,脚本会保留文件权限,不需二次设置。
acme.sh --install-cert -d 'example.***' \
--key-file /etc/acme/ssl/example.***/example.***.key \
--fullchain-file /etc/acme/ssl/example.***/example.***.crt \
--reloadcmd "service nginx force-reload"
acme.sh --install-cert -d '*.example.***' \
--key-file /etc/acme/ssl/example.***/wildcard.example.***.key \
--fullchain-file /etc/acme/ssl/example.***/wildcard.example.***.crt \
--reloadcmd "service nginx force-reload"
5. 配置你的Apache/Nginx
自行修改Apache/Nginx配置,指定SSL证书到上一步的路径。
6. 更新acme.sh
目前由于acme协议和letsencrypt CA都在频繁的更新, 因此acme.sh也经常更新以保持同步。升级acme.sh到最新版:
acme.sh --upgrade
如果你不想手动升级, 可以开启自动升级:
acme.sh --upgrade --auto-upgrade
之后, acme.sh 就会自动保持更新了。
你也可以随时关闭自动更新:
acme.sh --upgrade --auto-upgrade 0
7. 其它和卸载
acme.sh支持–help帮助,自行处理。