windows在cygwin64下利用acme.sh批量签发的ssl/https证书，并用powershell ...

利用前提

本脚本是在利用阿里云Windows服务器的前提，如果利用其他dns服务，请参看acme.sh的dns相关文档

配置好cygwin64、acme.sh并配置好阿里云账户，openssl最好也安装上

cygwin64配置参考

acme.sh配置

openssl参考,添加-certpbe PBE-SHA1-3DES -keypbe PBE-SHA1-3DES -nomac 是为了应对pfx输入密钥不正确

最终路径就是项目路径

一、安装cygwin64

1. 下载

cygwin64官网下载
cygwin64百度云
如果windows server 08R2启动安装步伐失败，请利用cmd运行

1. setup-x86_64.exe --allow-unsupported-windows --site http://ctm.crouchingtigerhiddenfruitbat.org/pub/cygwin/circa/64bit/2024/01/30/231215 --no-verify

复制代码

其他老旧体系请参考cygwin64官网网页的How can I install the last Cygwin version for an old, unsupported Windows回答

2. 非老旧体系配置镜像点

如果不是老久体系 ，则可以思量利用阿里云镜像

阿里云镜像点： https://mirrors.aliyun.com

3. 安装包参考列表

curl
cron
bzip2
wget
gcc-core
gcc-g++
make
openssh
openssl
lynx
dos2unix
vim
4. Windows配置情况变量

在Path后加;C:\cygwin64\bin;C:\cygwin64\usr\local\bin

5. 如果遇到VIM不能粘贴复制

打开cygwin64桌面图标Cygwin64 Terminal，进入控制台
cd /home
vim .vimrc
i键进入编辑模式，键入以下内容

1. set mouse=c
2. syntax on

复制代码

esc键退出编辑模式，输入:wq即可生存文件
shift+ins 是cygwin64控制台下的粘贴键

二、安装acme.sh

1. 通过curl命令直接安装acme.sh

1. curl -k https://raw.githubusercontent.com/acmesh-official/acme.sh/master/acme.sh | sh -s -- --install-online -m  my@example.com

复制代码

如果报错如图

输入以下，使curl忽略全局ssl认证，成功后 ，再去通过curl安装acme.sh试试

1. echo insecure > ~/.curlrc

复制代码

2. 如果步骤二.1成功则不需要看此条

1)直接去git下载acme.sh的源码

acme.sh git资源
acme.sh 百度云

利用解压软件如7z将acme.sh-3.0.7.tar.gz解压两次放在/usr/download目录下，并重命名为acme.sh，如图

2)安装acme.sh

切换到cygwin64控制台

1. cd /usr/download/acme.sh
2. ./acme.sh --install -m example@qq.com

复制代码

3. 配置acme.sh

0)安装完成后重新加载 Bash

1. source ~/.bashrc

复制代码

1)配置自动更新

1. acme.sh --upgrade --auto-upgrade

复制代码

2)切换至Letsencrypt

1. acme.sh --set-default-ca --server letsencrypt

复制代码

3)配置DNSApi，这里是参考阿里云的dnsapi，其他请参考acme.sh的dns相关文档

cd /home/Administrator/.acme.sh
vim account.conf
i键进入编辑模式，输入阿里云帐号的AccessKey相关内容

1. export Ali_Key="LTAIsadfd8J9qs4fxxxxxxxxxx"
2. export Ali_Secret="Xp3adgfNDOW0CJcPLKoUwqxxxxxxxxxx"

复制代码

esc键退出编辑模式，输入 :wq 生存文件并退出
三、准备powershell脚本

PowerShell 脚本，利用前，更改执行计谋

关于执行计谋：
https://learn.microsoft.com/zh-cn/powershell/module/microsoft.powershell.core/about/about_execution_policies?view=powershell-7.4#powershell-execution-policies

1. Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser

复制代码

以下是PowerShell脚本，如果乱码，请将文件生存为GB2312字符文件

1.acme自动申请证书脚本，请生存在cygwin64批量自动签发证书.ps1文件中

1. # 设定bash别名，如果系统装了wsl可能冲突，使用别名强制使用cygwin64命令
2. Set-Alias -Name bash C:\cygwin64\bin\bash.exe
3. # 设定openssl别名，如果系统装了wsl可能冲突，使用别名强制使用cygwin64命令
4. Set-Alias -Name openssl C:\cygwin64\bin\openssl.exe
5. # 公共证书备份路径，务必带盘符
6. $commonPath = "E:\cert"
7. # cygwin64用户路径，务必带盘符，Administrator是计算机安装cygwin64的用户名，不同情况名字不同
8. $userPath = "C:\Cygwin64\home\Administrator"
9. # cygwin64内部用户路径
10. $cygwinUserPath = "/home/Administrator"
11. # pfx文件密钥
12. $pfxPassword = "dgfdgsdfg"
14. # 证书在以下列表中添加即可
15. $data = @(
16.     [pscustomobject]@{
17.         # 要申请的域名
18.         domain = "buy.test.com";
19.         # 项目路径，可空
20.         path   = "D:\Web\Main"
21.     },
22.     [pscustomobject]@{
23.         domain = "go.test.com";
24.     },
25.     [pscustomobject]@{
26.         domain = "*.test.com";
27.     }
28. )
30. # 如果公共路径不存在，那么创建,如果路径已存在，不影响命令继续执行
31. if (![System.IO.Directory]::Exists($commonPath)) {
32.     md $commonPath
33. }
35. # 获取公共证书备份路径在cygwin64环境下的路径
36. $cygwinCommonPath = "/cygdrive/" + $commonPath.Replace(":", "").Replace("", "/");
38. # 重试次数
39. $retryCnt = 0
41. function IssueKey {
42.     param (
43.         [string]$currDomain,
44.         [string]$currPath,
45.         [bool]$force
46.     )
47.     # 如果重试次数大于2，那么退出当前函数
48.     if ($retryCnt -gt 2) {
49.         return
50.     }
52.     # 替换特殊路径名
53.     $domain = $currDomain.Replace("*", "_")
54.     $cygDomain = $currDomain.Replace("*", "\*")
56.     # 设置执行命令后缀，这里是acme.sh相关命令，修改dns api就在这里
57.     $issueCmd = "--issue --dns dns_ali -d $($currDomain) --key-file $($cygwinCommonPath)/$($domain).key --fullchain-file $($cygwinCommonPath)/$($domain)_fullchain.cer"
58.     #如果是强制重发
59.     if ($force) {
60.         $issueCmd += " --force"
61.     }
62.     Write-Host 被执行的acme.sh后缀命令 $issueCmd
63.     bash --login -i -c "acme.sh $($issueCmd)"
64.    
65.     Write-Host 检查$currDomain key文件大小和backup目录是否存在文件
66.    
67.     $commonFullChainPath = "$($commonPath)\$($domain)_fullchain.cer"
68.     $commonKeyPath = "$($commonPath)\$($domain).key"
69.     $commonPfxPath = "$($commonPath)\$($domain).pfx"
70.     $commonPemPath = "$($commonPath)\$($domain).pem"
71.     # cygwin环境下的目录
72.     $cygwinCertPath = "$($cygwinUserPath)/.acme.sh/$($cygDomain)_ecc"
74.     Write-Host 赋予权限
75.     bash --login -i -c "chmod -R g+rw $($cygwinCertPath)"
77.     Write-Host 拷贝Key、Fullchain文件到公共目录
78.     bash --login -i -c "cp -f $($cygwinCertPath)/$($cygDomain).key $($cygwinCommonPath)/$($domain).key"
79.     bash --login -i -c "cp -f $($cygwinCertPath)/fullchain.cer $($cygwinCommonPath)/$($domain)_fullchain.cer"
81.     # 判断绝对路径下证书文件是否存在，如果不存在直接强制重新生成证书
82.     Write-Host 第一次检查$commonKeyPath 文件是否存在
83.     if (![System.IO.File]::Exists($commonKeyPath)) {
84.         Write-Host 检查key.bak是否存在
85.         # 尝试从备份中恢复文件到原目录
86.         bash --login -i -c "cp -f $($cygwinCertPath)/backup/key.bak $($cygwinCertPath)/$($cygDomain).key"
87.         # 尝试从原目录拷贝文件到公共目录
88.         bash --login -i -c "cp -f $($cygwinCertPath)/$($cygDomain).key $($cygwinCommonPath)/$($domain).key"
89.         Write-Host 第二次检查$commonKeyPath 文件是否存在
90.         if (![System.IO.File]::Exists($commonKeyPath)) {
91.             Write-Host 公共路径证书文件不存在 $commonKeyPath 即将强制重新申请
92.             # 重试次数+1
93.             $retryCnt += 1
94.             IssueKey -currDomain $currDomain -currPath $currPath -force $true
95.         }
96.     }
98.     Write-Host 第一次检查 $($domain).pfx 文件是否存在
99.     if (![System.IO.File]::Exists($commonPfxPath)) {
100.         Write-Host openssl转换pfx   
101.         # openssl 3.x 版本  
102.         openssl pkcs12 -export -certpbe PBE-SHA1-3DES -keypbe PBE-SHA1-3DES -nomac -out $commonPfxPath -inkey $commonKeyPath -in $commonFullChainPath -password pass:$pfxPassword
103.         # openssl 1.0 版本
104.         # openssl pkcs12 -export -out $commonPfxPath -inkey $commonKeyPath -in $commonFullChainPath -password pass:$pfxPassword
105.     }
107.     Write-Host 第二次检查 $($domain).pfx 文件是否存在
108.     if (![System.IO.File]::Exists($commonPfxPath)) {
109.         # 如果重试次数大于2，那么退出当前函数
110.         if ($retryCnt -gt 2) {
111.             return
112.         }
113.         else {
114.             # 重试次数+1
115.             $retryCnt += 1
116.             IssueKey -currDomain $currDomain -currPath $currPath -force $true
117.         }
118.     }
120.     # 如果pem格式文件不存在，那么使用openssl转换成pem格式
121.     if (![System.IO.File]::Exists($commonPemPath)) {
122.         Write-Host openssl转换pem  
123.         openssl pkcs12 -in $commonPfxPath -out $commonPemPath -nodes -password pass:$pfxPassword
124.     }
126.     # 如果对象path不为空且存在，将证书拷贝到项目路径下
127.     if (![string]::IsNullOrEmpty($currPath)) {
128.         Write-Host 拷贝$domain 证书文件到项目目录
129.         Copy-Item -Path $commonKeyPath -Destination "$($currPath)\$($domain).key" -Force
130.         Copy-Item -Path $commonPfxPath -Destination "$($currPath)\$($domain).pfx" -Force
131.         Copy-Item -Path $commonPemPath -Destination "$($currPath)\$($domain).pem" -Force
132.     }
133. }
135. foreach ($curr in $data) {
136.     # 每次弄新的，就重置次数
137.     $retryCnt = 0
139.     try {
140.         # 登录到cygwin使用acme.sh签发证书，并将文件拷贝到公共证书目录，并转成pfx格式，密码统一使用$pfxPassword
141.         Write-Host 地址 $curr.path
142.         Write-Host 签发 $curr.domain 证书
143.         IssueKey -currDomain $curr.domain -currPath $curr.path -force $false
144.     }
145.     catch {
146.         Write-Host "发生异常：$_"
147.         break
148.     }
149. }
150. # 执行完后退出
151. exit

复制代码

2.iis分配证书脚本，请生存在iis批量重新分配证书.ps1文件中

1. # 使用前先将策略设置为不严格 Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
2. # 保证证书有效的情况下再运行次脚本，将证书名称、证书目录、密钥放入以下数组
3. # 公共证书密钥
4. $pfxpassword = "dgfdgsdfg"
5. # 公共证书路径
6. $pfxCommandDir= "E:\cert"
7. # 域名
8. $domain="test.com"
9. # 服务器上的证书与端口映射关系
10. $data = @(
11.     [pscustomobject]@{subDomain = '*';port=443}
12.     [pscustomobject]@{subDomain = 'buy';port=8443}
13.     [pscustomobject]@{subDomain = 'go';port=7443}
14. )
15. $certRootStore = "LocalMachine"
16. $certStore = "My"
17. # 创建证书存储
18. $store = new-object System.Security.Cryptography.X509Certificates.X509Store($certStore, $certRootStore)
19. $store.open("MaxAllowed")
21. # 开始循环数组操作
22. foreach ($element in $data) {
23.     $currDomain=$element.subDomain.Replace("*","_");
24.     $pfxPath = "$($pfxCommandDir)\$($currDomain).$($domain).pfx"
25.     Write-Host $pfxPath
26.     # 创建pfx对象
27.     try {
28.         $certificateObject = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($pfxPath, $pfxpassword)
29.         if (!$certificateObject.Verify()) {
30.             Write-Host $element.subDomain证书验证失败, 请检查相关配置
31.             break
32.         }
33.         else {
34.             Write-Host 证书验证成功
35.         }
36.         # 存储证书到个人
37.         if (!$store.Certificates.Contains($certificateObject)) {
38.             $store.Add($certificateObject)
39.             Write-Host 导入证书成功
40.         }
41.         $newThumbprint = $certificateObject.Thumbprint
42.         Write-Host 获取证书信息成功
43.         $guid = [System.Guid]::NewGuid()
44.         $applicationID = "{$($guid)}"
45.         $addr = "0.0.0.0:$($element.port)"
46.         Write-Host $addr $newThumbprint
47.         # netsh删除原有监听端口
48.         netsh http delete sslcert ipport=$addr
49.         # netsh添加端口
50.         netsh http add sslcert ipport=$addr certhash=$newThumbprint appid=$applicationID
51.         # 如果对象path不为空且存在，将证书拷贝到项目路径下
52.         if (![string]::IsNullOrEmpty($element.path)) {
53.             $dest = "$($element.path)\$($currDomain).$($domain).pfx"
54.             Copy-Item -Path $pfxPath -Destination $dest -Force
55.             Write-Host 拷贝文件到项目目录成功
56.         }
57.     }
58.     catch {
59.         Write-Host "发生异常：$_"
60.         break
61.     }
62. }
63. # 关闭证书存储
64. $store.close()
66. # 执行完后退出
67. exit

复制代码

创建任务计划步伐参考

在常规页面中，勾选“只在用户登录时运行”以及“利用最高权限”，生存即可
任务计划步伐是按照顺序执行的。

任务计划步伐设置界面结果最终如图

以Windows Server 2008R2所示：

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。