• cme.sh 生成免费证书,维护证书

    什么是acme.sh

    用shell脚本从Let’s Encrypt 或 zerossl 两个颁发证书的源站,获取ssl证书, 并定期维护的一个开源产品。在证书过期前,自动更新。为我们带来了开源的便利, 同时也节省了维护证书的所花的时间成本。

    生成证书的流程

    1. 安装acme.sh

      curl https://get.acme.sh | sh -s email=my@example.com

      • 1
         //切换到let's encrypt源颁发机构
/root/.acme.sh/acme.sh --set-default-ca --server letsencrypt

      • 1
      • 2

      这里my@example.com可以随便填, 个人建议还是用自己的邮箱,本人的一个域名因为特殊字符没有自动更新, 会提前发邮件通知到。

    2. 下载生成证书

      acme.sh --issue -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/

      • 1

      www.mydomain.com是申请证书的域名, /home/wwwroot/mydomain.com 是域名对应的项目目录

    3. 复制证书到系统中证书所在的目录

      acme.sh --install-cert -d example.com \
--key-file       /path/to/keyfile/in/nginx/key.pem  \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd     "nginx -s reload"

      • 1
      • 2
      • 3
      • 4

    遇到的一些问题

    1. 生成证书时,提示“Verify error , Connection refused” 或者 404

      提示“Verify error: Fetching http://domain/.well-known/acme-challenge/lf-SJ97SVZRiumXXaPn-ZLVO7Vom10jAfRVzLp61SNc: Connection refused”

      或者 “Verify error: Invalid response from http://domain/.well-known/acme-challenge/L9Hqu3SPv7d3exJY7csWQnuPj6tnG5Tpzt4KUiftzlE: 404”;

      这里在项目目录做验证时用到的是http请求,而我的nginx只配置了https,http请求得不到响应,影响了验证。 所以将http请求重定向到https。 在nginx的配置文件中加入了下面代码

    server {
        listen 80;
        server_name domain.com;
        # Redirect all port 80 (HTTP) requests to port 443 (HTTPS).
        return 301 https://domain.com$request_uri;
    }

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    重启nginx后, 再次生成证书,成功。

    2.注意:acme.sh从 Let’s Encrypt获取时有次数、频率的限制

    刚开始使用acme.sh时, 频繁生成证书用于测试、实验。 超过了规定的次数后, 
会报“`too many certificates already issued for exact set of domains`”。  

  官方文档给出的是: 同一个注册域名, 每周生成的证书数量不能超过5张,
   否则会提示“`too many certificates already issued for exact set of domains`”。

   还有其他的限制, 比如同一个ip地址,3小时内最多可创建10个账户。  要注意一些,以免影响自己的业务。

  链接:[https://letsencrypt.org/zh-cn/docs/rate-limits/](https://letsencrypt.org/zh-cn/docs/rate-limits/)

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9

    3.acme.sh 使用Zerossl作为证书颁发机构。

     acme.sh 从v3开始 默认使用Zerossl做成证书颁发机构。如果不加 acme.sh --set-default-ca --server letsencrypt, 切换到letsencrypt。 就需要先注册账号,

    • 1
    acme.sh  --register-account  -m myemail@example.com --server zerossl

    • 1

    这里对本机系统的openssl版本有要求, 我的是1.0.2k-fips, 会提示“Usage: _hmac hashalg secret [outputhex]”。 所以需要更新openssl最新版 ,这里自行去百度一下,更新完后,再次注册,会成功。

    但是在下载证书是,一直提示超时,这个问题还没有解决, 所以暂时先用let‘s encrypt。

  • 相关阅读:
    JSP图书销售管理系统
    巨杉湖仓一体技术解读|实时对客释放全量数据价值
    Vue-报错No “exports“ main defined in xx
    散户反着买,别墅靠大海?股票上了龙虎榜还能买吗?
    前端开发(layui框架)
    锐捷MSTP实验配置
    【云计算】云数据中心网络(七):负载均衡
    【云原生 二】 Docker架构演进过程
    C#窗体中动态按钮的设计方法:创建特殊窗体
    PPT怎么转换成Word文档?分享两种转换小妙招
  • 原文地址:https://blog.csdn.net/u010265663/article/details/128168220