利用 ACME 实现SSL证书自动化设置更新

近来收到腾讯云的通知SSL证书要到期了，本想直接申请的发现现在申请的免费SSL证书有效期只有90天了，顺便了解了一下缘故原由是包括Google在内的国际顶级科技公司一直都有在推进免费证书90天有效期的建议，免费证书加密等级低，难以应对今天日益复杂的网络环境，90天一更新有助于及时发现可能存在的安全漏洞，从而降低风险。这本意是好的但是苦了我们这些的IT 人了，不过好在有自动化的SSL证书更新神器acme，可以一键申请SSL证书，到期也会自动更新，省去了很多麻烦。

安装acme

首先下载安装 acme，后面的 email修改为自己的用于收取SSL证书相干的消息，acme 默认会安装在~/.acme.sh/目录下。

1. curl https://get.acme.sh | sh -s email=mymail@mail.com

复制代码

修改SSL证书服务商

默认SSL 证书服务商为 ZeroSSL，申请过程比较容易出错建议修改为letsencrypt，

1. acme.sh --set-default-ca --server letsencrypt

复制代码

证书申请

证书申请过程须要一个域名验证操纵，acme 支持两种验证方式：http 验证和 dns 验证，这里我们采用 dns 验证方式，dns 验证可以手动添加CNAME记录也可以通过 dns 厂商提供的 api 举行添加，后者更方便一下，提供 dns 服务的厂商也很多这里以 dnspod 为例举行说明。
申请DNSAPI

登录 DNSPod通过 API 密钥创建 DNSPod Token，密钥创建后要保存好后续无法查询。

设置DNSAPI

将上一步申请的DNSPod Token的 ID 和 Token导入到环境变量中

1. export DP_Id="511111"
2. export DP_Key="2d111111111"

复制代码

执行申请操纵

使用issue命令申请证书， 参数-d 用户指定要申请证书的域名，*.domain.cn是泛域名，domain.cn是根域名，test.domain.cn是单域名，此处须要注意要确定前面指定的SSL证书服务商是否支持申请泛域名，假如不支持就须要多次重复此步操纵申请多个 SSL 证书，letsencrypt支持申请泛域名证书；参数 dns 用于指定 dns 服务厂商，执行器须要须要确保上一步的环境变量已经正确导入，可以检查~/.acme.sh/目录下的account.conf文件内容举行确认；命令执行后会通过dnsapi 自动添加CNAME记录并举行验证，验证通过后会在~/.acme.sh/domain.cn 目录天生申请好的证书。
申请过程请关注输出信息，存在异常时可以通过添加--debug参数输出更多信息以便排查。

1. acme.sh --issue -d domain.cn -d *.domain.cn --dns dns_dp

复制代码

证书安装

证书申请成功还须要安装到对应的位置，须要使用--install-cert命令，这里以 nginx 为例举行说明，-d 参数指定域名，须要和安装的证书文件一一对应，--key-file指定证书私钥的安装位置，--fullchain-file指定证书文件的安装位置，--reloadcmd指定证书文件安装完成应用的重启命令，执行成功会提示 success，可以通过访问自己的域名举行验证，同时命令为添加一条自动化任务"/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null用于定时自动更新 SSL 证书，可以通过crontab -l命令查看。

1. acme.sh --install-cert -d domain.cn \
2.         --key-file       /usr/local/nginx/conf/cert/domain.cn.key  \
3.         --fullchain-file /usr/local/nginx/conf/cert/domain.cn.cer \
4.         --reloadcmd     "/usr/local/nginx/sbin/nginx -s reload"

复制代码

相干网址

acme 使用说明
dnsapi 使用说明

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。