【开发日记】利用acme.sh获取免费泛域名SSL证书

最新推荐文章于 2025-10-01 06:04:04 发布
原创 最新推荐文章于 2025-10-01 06:04:04 发布 · 1.1k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssl #网络协议 #网络

文章目录


acme.sh是一个利用 ZeroSSL Let's Encrypt等受信任证书颁发机构(CA)自动化提供免费 SSL/TLS 证书的工具,可以用来部署 HTTPS,比 certbot还要好用。

单域名SSL证书只能对指定的域名部署HTTPS,比如你对域名example.com部署了单域名SSL证书,test.example.com还得再申请一个新的单域名SSL证书来部署HTTPS。

泛域名证书可以对*.example.com的所有子域名提供部署HTTPS,只需要一个SSL证书就可覆盖所有example.com下的子域名,如:test.example.comabc.example.com等。

1. 下载acme.sh

① 命令方式下载:

最方便的方式是使用以下命令安装

curl https://get.acme.sh | sh

但该方式使用的源是Github,没有科学上网可能会导致无法下载,可以通过访问国内的Gitee下载。

② 国内源Gitee手动下载:

Gitee地址:https://gitee.com/neilpang/acme.sh

使用Git克隆仓库文件到本地,或直接下载zip到本地后上传到你的服务器,反正最终的效果就是你要把这个仓库里的每一个文件都要弄到你的服务器中去。

2. 安装cron和socat

这两个应用是acme.sh依赖的,如果没有的话安装acme.sh时会警告。

apt update && apt install cron -y && apt install socat -y

3. 安装acme.sh

进入下载下来的acme.sh文件夹根目录执行以下命令:

./acme.sh --install

4. 重新加载环境变量

重新加载环境变量(或重新登录),不重新加载的话无法使用acme.sh命令。

下面的命令只需要执行其一即可,根据自己的情况:

source ~/.bashrc  # 适用于 bash
source ~/.zshrc   # 适用于 zsh

5. 注册ZeroSSL或切换默认CA为Let’s Encrypt

acme.sh3.0版本之后默认的CA是ZeroSSL,首次使用需要进行注册。

acme.sh --register-account -m 这里写你的邮箱

② 或者也可以切换默认CA为Let’s Encrypt。

acme.sh --set-default-ca --server letsencrypt

6. 设置DNS API配置到环境变量

根据不同的DNS服务商有不同的环境变量配置要求,acme.sh 目前支持超过一百家的 DNS API,访问以下链接可以查看你的域名托管服务商的相关配置:

https://github.com/acmesh-official/acme.sh/wiki/dnsapi2

这里以腾讯云和华为云举两个例子:

① 腾讯云,需要依次执行以下命令

export Tencent_SecretId="<Your SecretId>"
export Tencent_SecretKey="<Your SecretKey>"

登录腾讯云控制台,进入访问管理页面,进入访问密钥菜单栏下的API密钥管理可新建密钥,将对应的SecretIdSecretKey替换到上面命令中。

② 华为云,需要依次执行以下命令

这里以华为云为例,依次执行以下命令添加临时环境变量:

export HUAWEICLOUD_Username="<Your IAM Username>"
export HUAWEICLOUD_Password="<Your Password>"
export HUAWEICLOUD_DomainName="<Your DomainName>"

HUAWEICLOUD_Username是你的账户名称,如果是子账号则填写子账号。

HUAWEICLOUD_Password是账号的登录密码,可以尝试去华为云官网登录一下。

HUAWEICLOUD_DomainName也是账号名称。

可通过华为云提供的参数说明文档找到这些参数:https://support.huaweicloud.com/api-iam/iam_01_0006.html

7. 生成SSL证书

这里以example.com为例生成SSL证书,这里生成的是泛域名证书,但必须同时有example.com*.example.com。并且example.com必须在前,否则你会发现即使签发成功了也没有任何文件输出。

./acme.sh --issue --dns dns_huaweicloud -d example.com -d *.example.com

8. 手动配置证书

生成SSL证书后在/root/.acme.sh/你的域名_ecc/目录下可以看到证书等文件。

将其中的证书、私钥复制到你Nginx配置证书的目录下,下面是复制命令示例:

cp fullchain.cer /docker/nginx/work/crt/
cp 域名.key /docker/nginx/work/crt/

Nginx中配置证书:

http {
  # ... 这里省略...
  server {
    listen 443 ssl;
    server_name  域名;
    # ... 这里省略...

    # SSL证书配置
    ssl_certificate /work/crt/fullchain.cer;
    ssl_certificate_key /work/crt/域名.key;

    # ... 这里省略...
  }
  # ... 这里省略...
}

9. 自动化部署证书

执行以下命令自动化部署证书:

acme.sh --install-cert -d "example.com" --ecc \
  --cert-file /docker/nginx/work/crt/cert.pem \
  --key-file /docker/nginx/work/crt/key.pem \
  --fullchain-file /docker/nginx/work/crt/fullchain.pem \
  --reloadcmd "docker restart nginx"

参数解释:

/docker/nginx/work/crt/cert.pem是部署后的域名证书地址。

/docker/nginx/work/crt/key.pem是部署后的私钥地址。

/docker/nginx/work/crt/fullchain.pem是部署后的域名证书及中间证书地址。

cert.pemfullchain.pem的区别是如果你的域名证书是某个中间CA签发的,而这个中间CA又是受信任的根 CA 签发或信任的,fullchain.pem把这些拼接起来,让客户端可以一步搞定信任验证。

执行后如果提示:It seems that tworice.cn is an IDN( Internationalized Domain Names), please install 'idn' command first.

执行以下命令安装idn即可:

apt install -y idn

10. 自动化续期证书

这个放在下一期文章讲,文章太长了,不利于阅读。

acme.sh获取证书
twx843571091的博客
08-26 979
命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效.(即配合第二步介绍的cron定时更新证书)登录阿里云,按照下图方式创建用户,记录下ID和Secret。发现已经存在定时任务了!(自动更新证书的作用)最终输出如下所示信息就表示证书申请成功了。注意:虽然第5步生成的key、cert、,但是通过上述命令拷贝后重命名了。并不会重新加载证书, 所以用的。(一个小提醒, 这里用的是。安装完成后,通过命令。...
acme.sh自动获取阿里云泛域名证书
weixue108的博客
03-07 960
使用acme.sh
acme.sh多CA支持解析:ZeroSSL/Let's Encrypt自由切换
最新发布
gitblog_00012的博客
10-01 936
你还在为SSL证书申请和切换不同证书颁发机构(Certificate Authority,CA)而烦恼吗?一文带你掌握acme.sh的多CA支持功能,轻松实现ZeroSSL与Let's Encrypt的无缝切换,保障网站安全又灵活。读完本文,你将了解acme.sh支持的CA类型、如何切换CA以及相关的最佳实践。 ## CA支持概览 acme.sh作为一款纯Unix shell脚本实现的ACME...
使用 acme.sh 生成免费泛域名证书
m0_69214212的博客
04-12 2291
原文发布在 不二博客 在 使用 acme.sh 为网站生成永久免费证书 一文中介绍了如何安装 acme.sh 以及如何生成证书,这篇文章就来说一说如何使用 acme.sh 来生成泛域名证书,即主域名和所有该主域名下的所有二级域名都使用一个证书,省去了为每个域名都生成证书的麻烦。 本篇文章以腾讯云的 DNSPod 为例,如果你使用的是阿里云或者别的域名服务商,请自行搜索解决。 **DNS 方式的真正强大之处在于可以使用域名解析商提供的 api 自动添加 TXT 记录完成验证。**我们就是利用 DNS 方式来.
如何白piao一个免费泛域名SSL证书
热门推荐
Throwable
08-14 1万+
前提为了给个人博客提速,全部静态资源放到云上的对象存储中,并且加了CDN,耗费了不少RMB。新申请的域名也备案通过了,但是SSL证书一般需要按年付款,看了下「鹅云」上最便宜的泛域名证书...
通过 acme.sh 申请 Zero SSL 免费泛域名证书
zhangxin09的专栏
05-31 8120
就是白嫖,而且理论上是无限的……中间有些坑,来看看我怎么踩!
基于acme.sh 自动生成泛域名证书
程序我世界
09-03 1011
基于acme.sh 自动生成泛域名证书
使用 Acme.sh 获取和管理免费 SSL 证书
Jason
09-03 291
摘要:主域名与泛域名SSL证书手动配置指南 本教程介绍如何使用acme.sh手动配置主域名和泛域名SSL证书。步骤包括:1)克隆并安装acme.sh;2)手动添加DNS验证记录;3)生成证书文件;4)更新nginx配置并重启服务;5)验证证书有效性。由于域名平台不支持API,需每3个月手动更新一次。操作包含获取证书文件、更新云服务商证书列表及替换nginx证书文件等流程。
基于acme.sh 手动生成泛域名证书
程序我世界
06-17 701
基于acme.sh 生成泛域名证书
qnap-acme.sh
09-18
威联通QNAP自动续签更新SSL证书脚本(配合acme.sh使用),支持Let's Encrypt免费证书,支持域名泛解析证书,如:*.xx.com。
acme.sh 实现了 acme 协议,可以从 Let's Encrypt 生成免费证书,内含完整源代码
02-22
acme.sh 实现了 acme 协议,可以从 Let's Encrypt 生成免费证书,内含完整源代码 生成证书 acme.sh 实现了 acme 协议支持的所有验证协议,有两种方式验证: http 验证 和 dns 验证。 1. http 方式 http 方式需要...
免费申请泛域名 ssl 证书
weixin_34126557的博客
03-15 352
2019独角兽企业重金招聘Python工程师标准>>> ...
免费泛域名SSL证书申请
技术笔记
04-09 1060
二级域名使用较多时,一个个申请证书有点麻烦。泛域名证书一次性解决。
如何永久申请免费泛域名ssl证书证书部署 | 地表最强教程
m0_73114063的博客
05-14 2822
基于GitHub开源项目acme.sh与Let's Encrypt无需注册自动更新免费泛域名https证书
基于acme免费申请泛域名证书
最美dee时光的博客
11-26 803
参考文档:https://github.com/acmesh-official/acme.sh
acme.sh进行ssl证书申请
m0_54011621的博客
08-22 1748
/ 信息保存在 .acme.sh/account.conf// ↓ 填入账号的token令牌 [ root@ .acme.sh ] # export CF_Token="Y_jpG9AnfQmuX5Ss9M_qaNab6SQwme3HWXNDzRWs" // ↓ 填入账号域名的ID [ root@ .acme.sh ] # export CF_Account_ID="763eac4f1bcebd8b5c95e9fc50d010b4"
https 免费泛域名证书申请
weixin_33881753的博客
08-16 418
安装证书申请工具 curl https://get.acme.sh | sh 开始申请: ./acme.sh --issue -d *.maizim.com -d maizim.com --dns \ --yes-I-know-dns-manual-mode-enough-go-ahead-please 把上面得到的以_acme-challenge 开头的后...
# 用acme.sh申请证书(含泛域名
超级无敌棒棒糖
10-20 2380
爱你!
实战:使用Certbot签发免费ssl泛域名证书(主域名及其它子域名共用同一套证书)-2024.8.4(成功测试)
weixin_39246554的博客
08-04 658
实战:使用Certbot签发免费ssl泛域名证书(主域名及其它子域名共用同一套证书)-2024.8.4(成功测试)1、使用Certbot签发免费ssl泛域名证书 | One。
linux acme.sh 生成ssl证书 国内
02-12
### 使用 acme.sh 在 Linux 上生成适合中国环境的 SSL/TLS 证书 #### 安装 acme.sh 为了在 Linux 环境中使用 `acme.sh` 来获取 SSL/TLS 证书,首先需要安装该工具。可以通过以下命令来完成安装: ```bash curl https://get.acme.sh | sh ``` 这会自动下载并配置好 `acme.sh` 工具。 #### 配置 DNS API 接口 对于中国大陆用户而言,通常会选择阿里云作为域名服务提供商。因此,在申请证书前需先设置好相应的 DNS API 接口以便验证域名所有权。具体操作如下所示: ```bash export Ali_Key="your_ali_key" export Ali_Secret="your_ali_secret" ``` 这里的 `Ali_Key` 和 `Ali_Secret` 是指从阿里云账户获得的访问密钥信息。 #### 请求新的 SSL 证书 当完成了上述准备工作之后就可以正式向 Let's Encrypt 发起请求以获取所需的 SSL 证书了。下面是一个简单的例子展示如何为单个域名申请通配符类型的证书: ```bash acme.sh --issue --dns dns_ali -d *.example.com ``` 此命令将会通过阿里云提供的 DNS 解析接口来进行域名验证,并最终得到一张有效期为90天的标准 X.509 数字证书[^1]。 #### 自动化续期机制 考虑到所颁发出来的每张证书都有固定的生命周期(通常是三个月),所以建议开启自动化更新功能以免过期造成不必要的麻烦。可以利用系统的定时任务计划程序 Cron 实现这一目标: ```bash sudo crontab -e ``` 接着加入一行类似于这样的条目用于每天凌晨两点钟执行一次检查工作: ```cron 0 2 * * * "/home/user/.acme.sh/acme.sh" --cron --home "/home/user/.acme.sh" > /dev/null ``` 这样就能确保即使管理员忘记手动处理也能保持网站始终处于安全连接状态之下[^2]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二饭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值