老闆說「把系統升級到https」，我用一個腳本實現了，並且永久免費！

正文

如今不少站長都會考慮將本身的站點從http升級到https，不只是基於安全的考慮，有的也是由於第三方平臺的限制，如谷歌瀏覽器會將http站點標記爲不安全的站點，微信平臺要求接入的微信小程序必須使用https等。

那如何將一個http站點升級爲https站點呢？

http與https的區別

爲了數據傳輸的安全，https在http的基礎上加入了ssl協議，ssl協議依靠證書來驗證服務器的身份，併爲瀏覽器和服務器之間的通訊加密。要想將http升級爲https，只須要給http站點增長一個CA證書便可。

目前獲取CA證書有兩種途徑：

1. 購買收費的CA證書
2. 獲取免費的證書

收費的CA證書各大服務提供商都有賣，如阿里雲、騰訊雲等。

【系統架構】如何升級到https？一個腳本幫你搞定，且永久免費

收費的證書不便宜，從阿里雲官方網站看，它的價格能夠從幾千元到上萬元不等。

《2020最新Java基礎精講視頻教程和學習路線！》

【系統架構】如何升級到https？一個腳本幫你搞定，且永久免費

這對於小公司平臺，甚至是我的站點來講，是一個不小的開支。

Letsencrypt是一個免費、自動化和開放的證書頒發機構，其頒發的證書一次有效期爲三個月，可是隻要能持續更新，基本能夠永久使用。

今天推薦的這個腳本acme.sh，實現了 acme 協議, 能夠幫你持續自動從Letsencrypt更新CA證書。下載地址以下：

github.com/Neilpang/ac…

安裝 acme.sh

安裝acme.sh很簡單，一個命令便可：

curl get.acme.sh | sh

普通用戶和 root 用戶均可以安裝使用。安裝過程進行了如下幾步：

一、把acme.sh安裝到你的home目錄下:

~/.acme.sh/

並建立 一個 bash 的 alias，方便你使用：alias acme.sh=~/.acme.sh/acme.sh

二、自動爲你建立 cronjob，天天 0:00 點自動檢測全部的證書。若是快過時了，須要更新，則會自動更新證書，安裝過程不會污染已有的系統任何功能和文件，全部的修改都限制在安裝目錄中：~/.acme.sh/

生成證書

acme.sh 實現了 acme 協議支持的全部驗證協議， 通常有兩種方式驗證：http 和 dns 驗證。

一、http 方式須要在你的網站根目錄下放置一個文件, 來驗證你的域名全部權，完成驗證，而後就能夠生成證書了。

acme.sh --issue -d mydomain.com -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/

acme.sh 會全自動的生成驗證文件, 並放到網站的根目錄，而後自動完成驗證。最後會聰明的刪除驗證文件，整個過程沒有任何反作用。

若是你用的是apache服務器，acme.sh 還能夠智能的從 apache的配置中自動完成驗證，你不須要指定網站根目錄:

acme.sh --issue -d mydomain.com --apache

若是你用的是nginx服務器，或者反代，acme.sh還能夠智能的從 nginx的配置中自動完成驗證，你不須要指定網站根目錄:

acme.sh --issue -d mydomain.com --nginx

注意：不管是 apache 仍是 nginx 模式，acme.sh在完成驗證以後，會恢復到以前的狀態，都不會私自更改你自己的配置。好處是你不用擔憂配置被搞壞，但也有一個缺點，你須要本身配置 ssl 的配置，不然，只能成功生成證書，你的網站仍是沒法訪問https。可是爲了安全，你仍是本身手動改配置吧。

若是你尚未運行任何 web 服務，80 端口是空閒的, 那麼 acme.sh 還能僞裝本身是一個webserver, 臨時聽在80 端口，完成驗證:

acme.sh --issue -d mydomain.com --standalone

二、dns 方式，在域名上添加一條 txt 解析記錄，驗證域名全部權。

這種方式的好處是，你不須要任何服務器，不須要任何公網 ip，只須要 dns 的解析記錄便可完成驗證。不過，壞處是，若是不一樣時配置 Automatic DNS API，使用這種方式 acme.sh 將沒法自動更新證書，每次都須要手動再次從新解析驗證域名全部權。

acme.sh --issue --dns -d mydomain.com

而後，acme.sh 會生成相應的解析記錄顯示出來，你只須要在你的域名管理面板中添加這條 txt 記錄便可。

等待解析完成以後, 從新生成證書:

acme.sh --renew -d mydomain.com

注意：第二次這裏用的是 --renew

dns 方式的真正強大之處在於可使用域名解析商提供的 api 自動添加 txt 記錄完成驗證。

acme.sh 目前支持 cloudflare, dnspod, cloudxns, godaddy 以及 ovh 等數十種解析商的自動集成。

copy/安裝 證書

前面證書生成之後，接下來須要把證書 copy 到真正須要用它的地方。

注意：默認生成的證書都放在安裝目錄下：~/.acme.sh/，請不要直接使用此目錄下的文件。例如，不要直接讓 nginx/apache 的配置文件使用這下面的文件。這裏面的文件都是內部使用，並且目錄結構可能會變化。

正確的使用方法是使用 --installcert 命令，並指定目標位置，而後證書文件會被copy到相應的位置，例如：

acme.sh --installcert -d <domain>.com 

--key-file /etc/nginx/ssl/<domain>.key 

--fullchain-file /etc/nginx/ssl/fullchain.cer 

--reloadcmd "service nginx force-reload"
複製代碼

一個小提醒，這裏用的是 service nginx force-reload，不是 service nginx reload，據測試, reload並不會從新加載證書，因此用的 force-reload。

Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer，而非 /etc/nginx/ssl/.cer ，不然 SSL Labs 的測試會報 Chain issues Incomplete 錯誤。

--installcert命令能夠攜帶不少參數，來指定目標文件。而且能夠指定 reloadcmd, 當證書更新之後，reloadcmd會被自動調用,讓服務器生效。

值得注意的是，這裏指定的全部參數都會被自動記錄下來，並在未來證書自動更新之後，被再次自動調用。

更新證書

目前證書在 60 天之後會自動更新，你無需任何操做。從此有可能會縮短這個時間，不過都是自動的，你不用關心。

更新 acme.sh

目前因爲 acme 協議和 Letsencrypt CA 都在頻繁的更新，所以 acme.sh 也常常更新以保持同步。

升級 acme.sh 到最新版 :

acme.sh --upgrade

若是你不想手動升級, 能夠開啓自動升級:

acme.sh --upgrade --auto-upgrade

以後, acme.sh 就會自動保持更新了。

你也能夠隨時關閉自動更新:

acme.sh --upgrade --auto-upgrade 0

出錯怎麼辦：

若是出錯, 請添加 debug log：

acme.sh --issue ..... --debug

或者：

acme.sh --issue ..... --debug 2

連接：https://juejin.cn/post/686583...