跳转至

ACME

acme.sh 申请证书

1.安装acme.sh

curl https://get.acme.sh | sh -s email=my@example.com
source ~/.bashrc //让别名生效,此后无论在哪里直接使用acme.sh,不用输绝对路径
# 把 acme.sh 安装到你的 home 目录下:
~/.acme.sh

# 由于最新acme.sh脚本默认ca变成了zerossl,现执行下面命令修改脚本默认ca为letsencrypt
acme.sh --set-default-ca --server letsencrypt

# 切换 Let’s Encrypt
acme.sh --set-default-ca --server letsencrypt
# 切换 Buypass
acme.sh --set-default-ca --server buypass
# 切换 ZeroSSL
acme.sh --set-default-ca --server zerossl
# 切换 SSL.com
acme.sh --set-default-ca --server ssl.com
# 切换 Google Public CA
acme.sh --set-default-ca --server google

2.生成证书

一般有两种方式验证: http 和 dns 验证

使用 clodflare的dns验证

1.Cloudflare Domain API 提供两种自动颁发证书的方法
使用全局 API 密钥

登录您的 Cloudflare 帐户以获取您的API 密钥。生成的每个令牌不会存储在 cloudflare 帐户中,如果设置不正确,将会过期。您将在 API 密钥部分获得该信息。

export CF_Key="<key>"
export CF_Email="<youremail@example.com>"
使用新的 cloudflare api 令牌,您将在正常登录后获得此令牌并在仪表板上向下滚动并复制凭据。
export CF_Token="<token>"
export CF_Account_ID="<id>"

为了使用新令牌,令牌当前需要跨所有区域访问 Zone.Zone 的读取权限和对 Zone.DNS 的写入权限。有关详细信息,请参阅问题 #2398 。 或者,如果证书仅覆盖单个区域,您可以将 API 令牌限制为仅对单个域的 Zone.DNS 进行写访问,然后直接指定CF_Zone_ID:

export CF_Token="<token>"
export CF_Account_ID="<id>"
export CF_Zone_ID="<zone>"

颁发证书:

./acme.sh --issue --dns dns_cf -d example.com -d *.example.com
andCF_Key或and将被保存CF_Email并在需要时重复使用。CF_TokenCF_Account_ID~/.acme.sh/account.conf

DNS手动申请域名/泛域名证书:
# 这种方式不需要导入DNS API,但需要你登录到域名商网站,手动增加DNS和txt记录以便完成验证。手动模式不支持自动续签,每次需要手动验证申请,不建议使用。
# 运行如下命令,请求签发证书,会提示你做一条txt记录,按提示做好txt记录:
acme.sh --issue -d example.com -d *.example.com --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please
# 做好txt记录生效后,运行如下命令,即可签发证书了(注意:第一次是--issue,第二次是--renew):
acme.sh --renew -d example.com -d *.example.com --yes-I-know-dns-manual-mode-enough-go-ahead-please

3.copy/安装 证书

Nginx example:

acme.sh --install-cert -d example.com \
--key-file       /path/to/keyfile/in/nginx/key.pem  \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd     "service nginx force-reload"

这里用的是 service nginx force-reload, 不是 service nginx reload, 据测试, reload 并不会重新加载证书, 所以用的 force-reload Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer ,而非 /etc/nginx/ssl/.cer ,否则 SSL Labs 的测试会报 Chain issues Incomplete 错误。 --install-cert命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效. 详细参数请参考: https://github.com/Neilpang/acme.sh#3-install-the-issued-cert-to-apachenginx-etc 值得注意的是, 这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用.

4.查看已安装证书信息

acme.sh --info -d example.com

5.更新证书

crontab  -l
# 会有类似的定时任务
1 * * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

# 查询域名申请证书信息
acme.sh --list

# 手动强制更新证书
acme.sh --renew -d example.com -d *.example.com --force --ecc
acme.sh --renew -d example.com -d *.example.com --force //非ECC证书使用此命令

6.更新|卸载|删除 acme.sh

# 升级 acme.sh 到最新版 :
acme.sh --upgrade
# 开启自动升级:
acme.sh --upgrade --auto-upgrade
# 关闭自动更新:
acme.sh --upgrade --auto-upgrade  0
# 删除证书
acme.sh remove <SAN_Domains>
# 卸载
acme.sh --uninstall
# 删除
rm -rf ~/.acme.sh