阿里云好好的一年免费证书变成了3个月换新,还弄个限额,每年也就20张的量。目前心种子的网站算上子站点一共5个,每个季度换一张,一年20张的配额正好用完。既然够用,我也就忍了。
之后为了申请谷歌的广告联盟,开通了阿里云的全站加速,又得用ssl证书,完全不够用了好不好。用付费的证书,无论用哪种,费用都比我的服务器租金还贵。只能考虑其他方法来申请证书,优先考虑acme,貌似口碑不错。
以下内容部分摘自官方文档,并结合网上的其他内容和自己的实际操作整合而成。
1. 安装 acme.sh
安装很简单,一个命令:
curl https://get.acme.sh | sh -s email=my@example.com
普通用户和 root 用户都可以安装使用。
如果你用的是国内的VPS,可能会出现在线安装失败的情况,可以使用源码直接安装:
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
安装过程进行了以下几步:
把 acme.sh 安装到你的 home 目录下:
~/.acme.sh/
并创建 一个 shell 的 alias,例如 .bashrc,方便你的使用: alias acme.sh=~/.acme.sh/acme.sh
- 自动为你创建 cronjob,每天 0:00 点自动检测所有的证书,如果快过期了,需要更新,则会自动更新证书。
安装过程不会污染已有的系统任何功能和文件,所有的修改都限制在安装目录中: ~/.acme.sh/
2. 生成证书
acme.sh 实现了 acme 协议支持的所有验证协议。一般有两种方式验证: http 和 dns 验证。
1. http 方式需要在你的网站根目录下放置一个文件,来验证你的域名所有权,完成验证。然后就可以生成证书了。
acme.sh --issue -d mydomain.com -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/
只需要指定域名,并指定域名所在的网站根目录。acme.sh 会全自动的生成验证文件,并放到网站的根目录,然后自动完成验证。最后会聪明地删除验证文件。整个过程没有任何副作用。
如果你用的 apache服务器,acme.sh 还可以智能的从 apache 的配置中自动完成验证,你不需要指定网站根目录:
acme.sh --issue -d mydomain.com --apache
如果你用的 nginx服务器,或者反代,acme.sh 还可以智能的从 nginx 的配置中自动完成验证,你不需要指定网站根目录:
acme.sh --issue -d mydomain.com --nginx
注意,无论是 apache 还是 nginx 模式,acme.sh在完成验证之后,会恢复到之前的状态,都不会私自更改你本身的配置。好处是你不用担心配置被搞坏,也有一个缺点,你需要自己配置 ssl 的配置,否则只能成功生成证书,你的网站还是无法访问https。但是为了安全,你还是自己手动改配置吧。
如果你还没有运行任何 web 服务,80 端口是空闲的,那么 acme.sh 还能假装自己是一个webserver,临时听在80 端口,完成验证:
acme.sh --issue -d mydomain.com --standalone
2. 手动 dns 方式,手动在域名上添加一条 txt 解析记录,验证域名所有权。
这种方式的好处是,你不需要任何服务器, 不需要任何公网 ip,只需要 dns 的解析记录即可完成验证。 坏处是,如果不同时配置 Automatic DNS API,使用这种方式 acme.sh 将无法自动更新证书,每次都需要手动再次重新解析验证域名所有权。
acme.sh --issue --dns -d mydomain.com \
--yes-I-know-dns-manual-mode-enough-go-ahead-please
然后,acme.sh 会生成相应的解析记录显示出来,你只需要在你的域名管理面板中添加这条 txt 记录即可。
等待解析完成之后,重新生成证书:
acme.sh --renew -d mydomain.com \
--yes-I-know-dns-manual-mode-enough-go-ahead-please
注意第二次这里用的是 --renew
dns 方式的真正强大之处在于可以使用域名解析商提供的 api 自动添加 txt 记录完成验证。
acme.sh 目前支持 cloudflare、dnspod、cloudxns、godaddy 以及 ovh 等数十种解析商的自动集成。
以 dnspod 为例,你需要先登录到 dnspod 账号,生成你的 api id 和 api key,都是免费的。然后:
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
acme.sh --issue --dns dns_dp -d aa.com -d www.aa.com
证书就会自动生成了。这里给出的 api id 和 api key 会被自动记录下来,将来你在使用 dnspod api 的时候,就不需要再次指定了。直接生成就好了:
acme.sh --issue -d mydomain2.com --dns dns_dp
3. copy/安装 证书
前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方。
注意, 默认生成的证书都放在安装目录下: ~/.acme.sh/,请不要直接使用此目录下的文件,例如:不要直接让 nginx/apache 的配置文件使用这下面的文件。这里面的文件都是内部使用,而且目录结构可能会变化。
正确的使用方法是使用 --install-cert 命令,并指定目标位置,然后证书文件会被copy到相应的位置,例如:
Apache 示例
acme.sh --install-cert -d example.com \
--cert-file /path/to/certfile/in/apache/cert.pem \
--key-file /path/to/keyfile/in/apache/key.pem \
--fullchain-file /path/to/fullchain/certfile/apache/fullchain.pem \
--reloadcmd "service apache2 force-reload"
Nginx 示例
acme.sh --install-cert -d example.com \
--key-file /path/to/keyfile/in/nginx/key.pem \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd "service nginx force-reload"
(一点小提醒, 这里用的是 service nginx force-reload,不是 service nginx reload,据测试,reload 并不会重新加载证书,所以用的 force-reload)
Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer ,而非 /etc/nginx/ssl/Chain issues Incomplete 错误。
--install-cert命令可以携带很多参数,来指定目标文件。并且可以指定 reloadcmd,当证书更新以后,reloadcmd会被自动调用,让服务器生效。
值得注意的是,这里指定的所有参数都会被自动记录下来,并在将来证书自动更新以后,被再次自动调用。
4. 查看已安装证书信息
acme.sh --info -d example.com
# 会输出如下内容:
DOMAIN_CONF=/root/.acme.sh/example.com/example.com.conf
Le_Domain=example.com
Le_Alt=no
Le_Webroot=dns_ali
Le_PreHook=
Le_PostHook=
Le_RenewHook=
Le_API=https://acme-v02.api.letsencrypt.org/directory
Le_Keylength=
Le_OrderFinalize=https://acme-v02.api.letsencrypt.org/acme/finalize/23xxxx150/781xxxx4310
Le_LinkOrder=https://acme-v02.api.letsencrypt.org/acme/order/233xxx150/781xxxx4310
Le_LinkCert=https://acme-v02.api.letsencrypt.org/acme/cert/04cbd28xxxxxx349ecaea8d07
Le_CertCreateTime=1649358725
Le_CertCreateTimeStr=Thu Apr 7 19:12:05 UTC 2022
Le_NextRenewTimeStr=Mon Jun 6 19:12:05 UTC 2022
Le_NextRenewTime=1654456325
Le_RealCertPath=
Le_RealCACertPath=
Le_RealKeyPath=/etc/acme/example.com/privkey.pem
Le_ReloadCmd=service nginx force-reload
Le_RealFullChainPath=/etc/acme/example.com/chain.pem
5. 更新证书
目前证书在 60 天以后会自动更新,你无需任何操作。今后有可能会缩短这个时间,不过都是自动的,你不用关心。
请确保 cronjob 正确安装,看起来是类似这样的:
crontab -l
56 * * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
6. 关于修改ReloadCmd
目前修改ReloadCmd没有专门的命令,可以通过重新安装证书来实现修改reloadCmd的目的。 此外,安装证书后,相关信息是保存在~/.acme.sh/example.com/example.conf文件下的,内容就是acme.sh --info -d example.com输出的信息,不过ReloadCmd在文件中使用了Base64编码。理论上可以通过直接修改该文件来修改ReloadCmd,且修改时,无需Base64编码,直接写命令原文acme.sh也可以识别。 不过,example.conf文件的位置和内容格式以后可能会改变!example.conf一直都是内部使用,后面有可能会改为用 sqlite 或者mysql 格式存储。所以一般不建议自己修改。
7. 更新 acme.sh
目前由于 acme 协议和 letsencrypt CA 都在频繁的更新,因此 acme.sh 也经常更新以保持同步。
升级 acme.sh 到最新版:
acme.sh --upgrade
如果你不想手动升级,可以开启自动升级:
acme.sh --upgrade --auto-upgrade
之后,acme.sh 就会自动保持更新了。
你也可以随时关闭自动更新:
acme.sh --upgrade --auto-upgrade 0
8. 出错怎么办
如果出错, 请添加 debug log:
acme.sh --issue ..... --debug
或者:
acme.sh --issue ..... --debug 2
在DNS验证模式下如果debug中出现诸如"timed out"等字样可能是因为GFW拦截了相应请求,需要添加http(s) proxy环境变量。(请按照自己实际设定修改)
export http_proxy="socks5h://localhost:1081" && export https_proxy="socks5h://localhost:1081"
9.查看/更新/删除 证书
- 查看安装证书
acme.sh --list
- 如果需要手动续签,则执行
acme.sh --renew -d example.com --force - 删除证书
acme.sh remove <SAN_Domains>
10.其他相关设置
切换证书代理
acme目前默认的证书代理是ZeroSSL(从2021开始),虽说它和Let's Encrypt两者的差别不大,但从网上的某些信息来看,前者在申请证书时可能会遇到一些问题,此时可能就需要考虑切换到后者。
acme.sh --set-default-ca --server letsencrypt
当然acme除了上面提到的两个CA外,还包括另外几项,分别如下:
| 功能 | Let's Encrypt | Buypass | ZeroSSL | SSL.com | Google Public CA |
|---|---|---|---|---|---|
| 有效期 | 90天 | 180天 | 90天 | 90天 | 90天 |
| 多域名 | 支持 | 最多5个 | 支持 | 收费 | 支持 |
| 泛域名 | 支持 | 支持 | 支持 | 收费 | 支持 |
| 错误限制 | 5次/时 | 5次/时 | 无 | 无 | 无 |
| SSL管理 | 无 | 无 | 有 | 有 | 无 |
| ECC 证书链 | 有 | 无 | 有 | 无 | 有 |
| 客户支持 | 论坛 | 收费 | 收费 | 收费 | 收费 |
切换方法也类似,只要将letsencrypt替换成buypass、zerossl、ssl.com或google。
注意:切换之后,只对新生成或新安装的证书有效,之前的因为已默认配置了ZeroSSL,所以并不会改变。
如果你只希望某个站点使用特定的CA,那么在生成时加入参数--server letsencrypt即可,比如:
acme.sh --issue -d mydomain.com -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/ --server letsencrypt
有或没有www的设置
其实很多网站现在都将www省略,比如mindseed.cn和www.mindseed.cn指向的都是同一个网站。严格来说,这两者是有很大区别的,前者是属于主域名,而www则属于前者的子域名,就像wiki.mindseed.cn和tech.mindseed.cn,它们都属于同一级。当然站长和用户都默认带不带www指的就是同一个网站(通过重定向功能实现)。
所以在生成ssl证书的时候,需要将两个域名都包含进去,比如上面的示例:
acme.sh --issue -d mindseed.cn -d www.mindseed.cn -w /home/wwwroot/mindseed.cn/
此处,将--webroot用-w替代。
使用acme.sh --list查看生成列表,Main_Domain显示的是mindseed.cn,SAN_Domains显示的www.mindseed.cn,见前文查看证书中的插图。
注意:如果带不带www都是指向同一个网站,一定不能只生成带www的那个,否则就算是使用重定向功能,可能还是会提示不安全。
泛域名的设置
在上面提到过使用DNS的方式来生成证书,同时这个方法可以用来申请泛域名并且支持自动更新。
首先获取阿里云的操作API 的 AccessKey ID和AccessKey Secret,
export Ali_Key="key值"
export Ali_Secret="key Secret"
给出的 api id 和 api key 会被自动记录下,下次就不用再次执行上述命令
acme.sh --issue --dns dns_ali -d *.example.com --force
