使用 acme.sh 簽發續簽 Let‘s Encrypt 證書 泛域名證書

1. 安裝 acme.sh

安裝很簡單, 一個命令:

curl https://get.acme.sh | sh

並建立 一個 bash 的 alias, 方便你的使用

alias acme.sh=~/.acme.sh/acme.sh

2. 生成證書

1. http 方式須要在你的網站根目錄下放置一個文件, 來驗證你的域名全部權,完成驗證. 而後就能夠生成證書了.

acme.sh --issue -d www.yuming.com --webroot /data/sites/site/

2. dns 方式, 在域名上添加一條 txt 解析記錄, 驗證域名全部權.(泛域名須要dns解析)

個人域名是在阿里註冊的，下面給出阿里雲解析的例子，其餘地方註冊的請參考這裏自行修改：傳送門

請先前往阿里雲後臺獲取App_Key跟App_Secret 傳送門，而後執行如下腳本

# 替換成從阿里雲後臺獲取的密鑰
export Ali_Key="xxxxxxxxxx"
export Ali_Secret="xxxxxxxxxxxxxxxxxxxx"
# 換成本身的域名
acme.sh --issue --dns dns_ali -d yuming.com -d *.yuming.com

到這裏就應該安裝好了

3. copy/安裝 證書

acme.sh --installcert -d yuming.com \
--key-file /data/ssl/yuming.com.key \
--fullchain-file /data/ssl/yuming.cer \
--reloadcmd "service nginx restart"

4. 別忘記在你的站點配置文件中添加證書路徑

#開啓443
listen 443 ssl;
#配置證書
ssl_certificate   /data/ssl/yuming.cer;
ssl_certificate_key  /data/ssl/yuming.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
ssl_prefer_server_ciphers on;

 

5. FAQ

注：我在centos 7上遇到問題，安裝完後執行acme.sh，提示命令沒找到，若是遇到跟我同樣的問題，請關掉終端而後再登錄，或者執行如下指令：

source ~/.bashrc

 

參考:
https://github.com/Neilpang/acme.sh/wiki/%E8%AF%B4%E6%98%8E

https://my.oschina.net/kimver/blog/1634575#comment-list