通过acme生成与续签ssl证书,并部署到nginx

原创 已于 2025-02-07 23:31:18 修改 · 887 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssl #nginx #网络协议

于 2025-02-07 23:27:53 首次发布

通过acme生成与续签ssl证书,并部署到nginx

介绍

官方介绍: acme.sh 实现了 acme 协议,可以从 ZeroSSLLet's Encrypt 等 CA 生成免费的证书。

安装 acme.sh

1. curl方式
curl https://get.acme.sh | sh -s email=my@example.com
2. wget方式
wget -O -  https://get.acme.sh | sh -s email=my@example.com
3. 国内方式安装
# 如果你的安装服务器位于中国大陆境内, 访问 github 可能会不成功. 所以安装可能会失败.
# 因此可以访问acme gitee ,地址为:https://github.com/acmesh-official/acme.sh/wiki/Install-in-China
# 安装方法如下:
git clone https://gitee.com/neilpang/acme.sh.git
cd acme.sh
./acme.sh --install -m my@example.com

刷新环境变量

source ~/.bashrc

生成证书

官方介绍摘抄: 如果使用手动验证,acme.sh 将无法自动更新证书,每次都需要手动添加解析来验证域名所有权。如果有自动更新证书的需求,请使用自动验证(DNS API)。 DNS 方式的真正强大之处在于可以使用域名解析商提供的 API 自动添加 TXT 记录,且在完成验证后删除对应的记录。acme.sh 目前支持超过一百家的 DNS API。

因此,本文采用DNS API验证来生成证书。

阿里云(万网)设置

设置Ali_Key与Ali_Secret

export Ali_Key="<key>"
export Ali_Secret="<secret>"

签发通配符证书

./acme.sh --issue --dns dns_ali -d example.com -d *.example.com
其他厂商
# 支持国内常见的华为云,腾讯云等。
# 详见官方文档:https://github.com/acmesh-official/acme.sh/wiki/dnsapi#dns_ali

复制证书

Nginx 示例
acme.sh --install-cert -d example.com \
--key-file       /path/to/keyfile/in/nginx/key.pem  \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
# 如果你是docker部署nginx,则修改为:--reloadcmd     "docker restart nginx"
--reloadcmd     "service nginx reload"
注意事项

默认情况下,证书每 60 天更新一次(可自定义)。更新证书后,Apache 或者 Nginx 服务会通过 reloadcmd 传递的命令自动重载配置。

注意:reloadcmd 非常重要。 证书会自动申请续签,但是如果没有正确的 reloadcmd 命令,证书可能无法被重新应用到 Apache 或者 Nginx,因为配置没有被重载。

查看已安装证书信息

acme.sh --info -d example.com

Nginx配置

server {
    listen 443 ssl;
    server_name localhost;

    ssl_certificate /acme/ssl/nginx/cert.pem;
    ssl_certificate_key /acme/ssl/nginx/key.pem;

    location / {
        root /usr/share/nginx/html;
        index index.html index.htm;
        try_files  $uri $uri/ /index.html;
    }        

    #error_page  404              /404.html;

    # redirect server error pages to the static page /50x.html
    #
    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
        root /usr/share/nginx/html;
    }
}

附录:详细配置

#  参考地址:https://cloud.tencent.com/document/product/400/35244
server {
     #SSL 默认访问端口号为 443
     listen 443 ssl; 
     #请填写绑定证书的域名
     server_name cloud.tencent.com; 
     #请填写证书文件的相对路径或绝对路径
     ssl_certificate cloud.tencent.com_bundle.crt; 
     #请填写私钥文件的相对路径或绝对路径
     ssl_certificate_key cloud.tencent.com.key; 
     ssl_session_timeout 5m;
     #请按照以下协议配置
     ssl_protocols TLSv1.2 TLSv1.3; 
     #请按照以下套件配置,配置加密套件,写法遵循 openssl 标准。
     ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; 
     ssl_prefer_server_ciphers on;
     location / {
         #网站主页路径。此路径仅供参考,具体请您按照实际目录操作。
         #例如,您的网站主页在 Nginx 服务器的 /etc/www 目录下,则请修改 root 后面的 html 为 /etc/www。
         root html; 
         index  index.html index.htm;
     }
 }
风雪留客
关注
ACME生成免费证书,默认自动续期
Charles的专栏
03-20 1589
除了使用dns的方式外,还可以使用http的方式来生成证书(如果不想通过网站根目录来验证,那么需要单独添加一个location来保证acme可以访问到生成的文件)由于acme被ZeroSSL收购,所以默认的证书服务商是ZeroSSL,但是此证书生成时会携带邮箱,因此更换为letsencrypt。申请好的账号信息(AliyunDNSFullAccess权限),填写在acme的account.conf文件中。acme默认生成的是ECC证书,如果需要生成RSA的证书,需要在原有的命令后面添加。
生成 HTTPS 证书配置到 Nginx 的完整步骤
GP的空间
07-18 1921
配置中包含自动重载 Nginx 的命令,这样每次证书续订后,Nginx 都会自动重载。安装证书指定证书和密钥的存放路径。你可以将证书安装Nginx证书目录(例如。启用 HTTPS,保证证书的自动续订和 Nginx 的自动重载。会在生成证书时临时启动一个 Web 服务器来完成域名验证。通常会自动设置证书续订任务。编辑 Nginx 配置文件(例如。请根据你的实际情况调整路径和端口。通过以上步骤,你应该能够成功为。),以包含 SSL 配置。
5分钟上手acme.sh证书管理:从安装到自动续期全攻略
gitblog_00832的博客
10-01 976
你是否还在为SSL证书的手动更新而烦恼?是否担心证书过期导致网站访问异常?acme.sh作为一款纯Unix shell脚本实现的ACME客户端协议工具,让证书管理变得简单高效。本文将带你从安装到自动续期,全方位掌握acme.sh的使用方法,轻松解决证书管理难题。读完本文,你将能够:快速安装acme.sh、申请免费SSL证书、配置自动续期、了解常见问题处理方法。 ## 安装acme.sh acm...
acme自动化---免费SSL证书申请自动续期
热门推荐
sywdebug的博客
07-19 1万+
上面是重新写的,以下是之前写的,记录了一个问题没有删除,之前写的使用了freeSSL,但是使用acme.sh其实是不需要使用其他的配合,之前也是先接触到freeSSL,所以按照freeSSL教程做的,实际上使用其他的还可能会产生其他不太好的问题,之前有记录,但是这次重写删掉了。上去之后看一眼,cer 是证书文件,key 是私钥文件,都没有更新,变得是 csr 文件,这个文件是申请前创建的,这个无关,但是可以看出是有自动续期,但是没有续期成功。
使用acme.sh生成nginx证书
qq805599325的专栏
06-26 538
安装aceme.sh、申请SSL证书、配置到Nginx
【Linux】使用 acme.sh 实现了 acme 协议生成免费的SSL 证书
ihero的博客
02-22 3255
acme.sh 实现了 acme 协议, 可以从多个CA提供商获取SSL证书,包括从 letsencrypt 获取生成免费的证书.下面详细介绍如下:
acme.sh如何添加续签SSL/TLS证书【保姆级教程】
最新发布
分享各类领域技术问题
11-06 994
acme.sh如何添加续签SSL/TLS 证书
免费SSL证书自动续期工具——acme
丘比特的小屋
09-12 597
新申请的网站想找一个https的免费证书,现在的免费证书有效期只有90天,于是想找到一个自动更新证书的工具acme.sh。由于我的域名解析在腾讯云上,我这里结合了腾讯云相关操作,来进行acme.sh服务部署
利用 ACME 实现SSL证书自动化配置更新
我的部落格
10-10 1124
利用 ACME 实现SSL证书自动化配置更新
使用acme.sh免费生成ssl证书
MrZhangYongj的博客
06-07 1459
使用acme.sh 免费生成https的ssl证书
使用acmenginx配置https
flytsuki的博客
04-28 1654
要先保证nginx存在需要配置https的域名 1.执行 curl https://get.acme.sh | sh 2.执行 alias acme.sh=~/.acme.sh/acme.sh 3.生成证书 acme.sh --issue -d baidu.com --nginx 4.颁发证书 acme.sh --installcert -d baidu.com --key-file /e...
acme-companion:为Nginx代理自动生成ACME SSL证书
04-12
acme-companion是的轻量级伴侣容器。 它通过ACME协议为代理的Docker容器处理SSL证书的自动创建,更新和使用。 如果使用latest版本,则必读:此项目的v2.0.0版本标记了Docker镜像所使用的ACME客户端从到 此开关会导致某些向后不兼容的更改,因此在更新映像之前,请阅读和更新的文档以获取更多详细信息。 最重要的更改是,容器现在需要安装到/etc/acme.sh的卷,才能保留ACME帐户密钥和SSL证书。 使用simp_le的最后一个标记版本是v1.13.1 。 特征: 使用自动创建/更新Let's Encrypt(或其他ACME CA)证书。 让我们仅通过http-01挑战来加密/ ACME域验证。 在证书创建/续订时自动更新和重新加载Nginx配置。 支持创建。 在启动时创建强大的Diffie-Hellman集团。 使用所有版本的Docker
使用 acme.sh 配置SSL 证书
santian
01-02 481
支持 5 个正式环境 CA,分别是。替换为你需要申请证书的域名。替换为你需要安装证书的域名。
ACME自动更新Nginx 网站证书
weixin_40933914的博客
07-01 415
1、安装acme.sh登录后复制 curl https://get.acme.sh | sh -s email=business@kai.com ~]# ls /root/.acme.sh/ account.conf acme.sh acme.sh.csh acme.sh.env deploy dnsapi...
使用acmenginx签发免费证书
xyw19991006的博客
10-12 1879
使用acme生成ssl证书部署nginx
acme.sh在nginx环境配置,ssl证书测试
coder_copy的博客
10-10 955
续写。
Nginx 域名SSL证书配置(网站 http 升级为 https) acme.sh 申请免费SSL永久证书(自动续期)
Japhet_jiu的博客
05-06 4007
ssl证书,看这一篇,就够了
【Let‘s Encrypt SSL】使用 acme.sh 给 Nginx 安装 Let’s Encrypt 提供的免费 SSL 证书
apple_csdn的博客
12-13 3727
安装 acme.sh 设置邮箱用来接受重要通知,如证书快过期未更新通知执行命令后几秒就安装好了,如果半天没有反应请 Ctrl+C 后重新执行命令。acme.sh 安装在 ~/.acme.sh 目录下,自动创建了一个 cronjob,每天 0:00 点自动检测所有的证书,如果快过期了, 则会自动更新。
nginx 自动续签ssl acme zerossl
03-16
<think>好的,我现在需要帮助用户配置Nginx使用ZeroSSLACME协议自动续签SSL证书。首先,我得回忆一下ACME.sh工具的使用,因为用户提到了ACME协议和ZeroSSL。记得ACME.sh是一个常用的脚本,用于自动化证书颁发和管理。 用户之前可能尝试过默认的ZeroSSL,但引用[1]提到建议改用Let's Encrypt,但用户现在明确想用ZeroSSL,所以需要调整。根据引用[4],切换CA可能需要使用`acme.sh --set-default-ca --server zerossl`,但不确定是否需要账户。ZeroSSL需要邮箱注册,可能还需要API密钥?或者是否可以用ACME.sh自动注册? 然后,用户需要生成证书生成证书通常需要验证域名所有权,通常有HTTP或DNS验证两种方式。假设用户使用HTTP验证,需要配置Nginx的webroot路径,以便ACME.sh可以写入验证文件。需要确认Nginx的配置中,对应域名的webroot目录是否正确,允许访问.well-known/acme-challenge路径。引用[2]和[3]提到安装证书时的路径设置,以及reloadcmd的使用。 接下来是安装证书Nginx。用户需要指定证书和私钥的存放路径,设置自动重载Nginx的命令。根据引用[2]中的示例,安装命令应该包括--key-file和--fullchain-file,然后reloadcmd用"service nginx force-reload"或者"systemctl reload nginx"。 另外,用户可能还需要生成Diffie-Hellman参数,如引用[2]中的openssl dhparam命令,这一步可能需要较长时间,但有助于增强安全性。 自动续签方面,ACME.sh默认每60天续签一次,引用[3]提到这一点,所以需要确认cron任务是否已正确安装,确保续签过程自动进行。 总结步骤应该是:安装ACME.sh,设置ZeroSSL为默认CA,注册账户,生成证书(配置Nginx的webroot),安装证书到指定路径,配置NginxSSL设置指向这些路径,设置自动重载,最后测试续签。同时可能需要处理dhparam的生成以提高安全性。 需要检查用户是否已经安装ACME.sh,如果没有的话,需要指导如何安装。然后逐步执行每个步骤,确保命令正确,特别是路径和域名的替换部分。可能遇到的错误包括权限问题、路径错误或验证失败,需要提示用户检查日志。 最后,生成相关问题时要围绕ACME.sh的其他功能、不同的验证方法、证书续期原理以及ZeroSSLLet's Encrypt的区别等方面提问。</think>### 配置Nginx使用ZeroSSLACME协议自动续签SSL证书的步骤 #### 1. 安装acme.sh脚本 ```bash curl https://get.acme.sh | sh source ~/.bashrc # 或重新登录终端 ``` 安装后,脚本会自动注册ZeroSSL为默认CA(需邮箱验证)[^4]。如需强制使用ZeroSSL: ```bash acme.sh --set-default-ca --server zerossl ``` #### 2. 注册ZeroSSL账户(需API) ```bash acme.sh --register-account -m your_email@example.com --server zerossl ``` #### 3. 配置Nginx验证目录 在Nginx配置文件中添加以下内容(确保路径可写): ```nginx server { listen 80; server_name example.com; location /.well-known/acme-challenge { root /var/www/html; } } ``` 重启Nginx使配置生效: ```bash systemctl reload nginx ``` #### 4. 申请证书 ```bash acme.sh --issue -d example.com -w /var/www/html --nginx ``` 参数说明: - `-d`:域名 - `-w`:webroot验证目录 - `--nginx`:自动检测Nginx配置 #### 5. 安装证书Nginx路径 ```bash acme.sh --install-cert -d example.com \ --key-file /etc/nginx/ssl/example.com.key \ --fullchain-file /etc/nginx/ssl/example.com.crt \ --reloadcmd "systemctl reload nginx" ``` 此操作会将证书路径写入`~/.acme.sh/example.com/example.com.conf`,绑定自动重载命令[^3]。 #### 6. 配置Nginx SSL ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /etc/nginx/ssl/example.com.crt; ssl_certificate_key /etc/nginx/ssl/example.com.key; # 增强安全性配置(可选) ssl_dhparam /etc/nginx/dhparam.pem; # 需提前生成:openssl dhparam -out /etc/nginx/dhparam.pem 2048[^2] ssl_protocols TLSv1.2 TLSv1.3; } ``` #### 7. 验证自动续期 手动测试续期: ```bash acme.sh --renew -d example.com --force ``` 脚本会通过cron自动续期(默认60天),可通过`crontab -l`查看任务。 --- ### 常见问题排查 - **验证失败**:检查`/var/www/html/.well-known/acme-challenge`是否可访问 - **权限问题**:确保`/etc/nginx/ssl`目录存在且有写入权限 - **证书未更新**:检查`acme.sh`日志文件`~/.acme.sh/acme.sh.log` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值