通过acme生成与续签ssl证书,并部署到nginx

已于 2025-02-07 23:31:18 修改
阅读量671 收藏 6
点赞数 5
CC 4.0 BY-SA版权
文章标签: ssl nginx 网络协议
于 2025-02-07 23:27:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fengxueliuke/article/details/145504626

通过acme生成与续签ssl证书,并部署到nginx

介绍

官方介绍: acme.sh 实现了 acme 协议,可以从 ZeroSSLLet's Encrypt 等 CA 生成免费的证书。

安装 acme.sh

1. curl方式
curl https://get.acme.sh | sh -s email=my@example.com
2. wget方式
wget -O -  https://get.acme.sh | sh -s email=my@example.com
3. 国内方式安装
# 如果你的安装服务器位于中国大陆境内, 访问 github 可能会不成功. 所以安装可能会失败.
# 因此可以访问acme gitee ,地址为:https://github.com/acmesh-official/acme.sh/wiki/Install-in-China
# 安装方法如下:
git clone https://gitee.com/neilpang/acme.sh.git
cd acme.sh
./acme.sh --install -m my@example.com

刷新环境变量

source ~/.bashrc

生成证书

官方介绍摘抄: 如果使用手动验证,acme.sh 将无法自动更新证书,每次都需要手动添加解析来验证域名所有权。如果有自动更新证书的需求,请使用自动验证(DNS API)。 DNS 方式的真正强大之处在于可以使用域名解析商提供的 API 自动添加 TXT 记录,且在完成验证后删除对应的记录。acme.sh 目前支持超过一百家的 DNS API。

因此,本文采用DNS API验证来生成证书。

阿里云(万网)设置

设置Ali_Key与Ali_Secret

export Ali_Key="<key>"
export Ali_Secret="<secret>"

签发通配符证书

./acme.sh --issue --dns dns_ali -d example.com -d *.example.com
其他厂商
# 支持国内常见的华为云,腾讯云等。
# 详见官方文档:https://github.com/acmesh-official/acme.sh/wiki/dnsapi#dns_ali

复制证书

Nginx 示例
acme.sh --install-cert -d example.com \
--key-file       /path/to/keyfile/in/nginx/key.pem  \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
# 如果你是docker部署nginx,则修改为:--reloadcmd     "docker restart nginx"
--reloadcmd     "service nginx reload"
注意事项

默认情况下,证书每 60 天更新一次(可自定义)。更新证书后,Apache 或者 Nginx 服务会通过 reloadcmd 传递的命令自动重载配置。

注意:reloadcmd 非常重要。 证书会自动申请续签,但是如果没有正确的 reloadcmd 命令,证书可能无法被重新应用到 Apache 或者 Nginx,因为配置没有被重载。

查看已安装证书信息

acme.sh --info -d example.com

Nginx配置

server {
    listen 443 ssl;
    server_name localhost;

    ssl_certificate /acme/ssl/nginx/cert.pem;
    ssl_certificate_key /acme/ssl/nginx/key.pem;

    location / {
        root /usr/share/nginx/html;
        index index.html index.htm;
        try_files  $uri $uri/ /index.html;
    }        

    #error_page  404              /404.html;

    # redirect server error pages to the static page /50x.html
    #
    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
        root /usr/share/nginx/html;
    }
}

附录:详细配置

#  参考地址:https://cloud.tencent.com/document/product/400/35244
server {
     #SSL 默认访问端口号为 443
     listen 443 ssl; 
     #请填写绑定证书的域名
     server_name cloud.tencent.com; 
     #请填写证书文件的相对路径或绝对路径
     ssl_certificate cloud.tencent.com_bundle.crt; 
     #请填写私钥文件的相对路径或绝对路径
     ssl_certificate_key cloud.tencent.com.key; 
     ssl_session_timeout 5m;
     #请按照以下协议配置
     ssl_protocols TLSv1.2 TLSv1.3; 
     #请按照以下套件配置,配置加密套件,写法遵循 openssl 标准。
     ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; 
     ssl_prefer_server_ciphers on;
     location / {
         #网站主页路径。此路径仅供参考,具体请您按照实际目录操作。
         #例如,您的网站主页在 Nginx 服务器的 /etc/www 目录下,则请修改 root 后面的 html 为 /etc/www。
         root html; 
         index  index.html index.htm;
     }
 }
风雪留客
关注
生成 HTTPS 证书配置到 Nginx 的完整步骤
GP的空间
07-18 1708
配置中包含自动重载 Nginx 的命令,这样每次证书续订后,Nginx 都会自动重载。安装证书指定证书和密钥的存放路径。你可以将证书安装到 Nginx证书目录(例如。启用 HTTPS,保证证书的自动续订和 Nginx 的自动重载。会在生成证书时临时启动一个 Web 服务器来完成域名验证。通常会自动设置证书续订任务。编辑 Nginx 配置文件(例如。请根据你的实际情况调整路径和端口。通过以上步骤,你应该能够成功为。),以包含 SSL 配置。
acme.sh生成https证书
逍遥的前端笔记
08-02 837
SSL 价格不便宜, 本节介绍如何使用 acme.sh 生成免费的 SSL 证书
Centos7 Nginx安装SSL证书配置全指南及acme.sh 配置Https
最新发布
trggrthy的博客
06-19 835
本文详细介绍了Nginx的安装配置流程: 1)安装运行环境依赖(gcc、openssl等); 2)通过源码编译安装Nginx,包含./configure参数说明和常见安装报错解决; 3)使用acme.sh工具申请SSL证书,包括阿里云DNS验证配置; 4)Nginx的HTTPS服务器配置示例,包含TLS协议优化和HTTP强制跳转HTTPS设置。文中特别强调了编译参数调整、证书申请流程以及Nginx安全配置的最佳实践。
使用acme.sh生成nginx证书
qq805599325的专栏
06-26 452
安装aceme.sh、申请SSL证书、配置到Nginx
【Linux】使用 acme.sh 实现了 acme 协议生成免费的SSL 证书
ihero的博客
02-22 3016
acme.sh 实现了 acme 协议, 可以从多个CA提供商获取SSL证书,包括从 letsencrypt 获取生成免费的证书.下面详细介绍如下:
使用acme.sh免费生成ssl证书
MrZhangYongj的博客
06-07 1372
使用acme.sh 免费生成https的ssl证书
使用acmenginx配置https
flytsuki的博客
04-28 1569
要先保证nginx存在需要配置https的域名 1.执行 curl https://get.acme.sh | sh 2.执行 alias acme.sh=~/.acme.sh/acme.sh 3.生成证书 acme.sh --issue -d baidu.com --nginx 4.颁发证书 acme.sh --installcert -d baidu.com --key-file /e...
Nginx + SSL + Acme + Frp SSL免费证书申请+自动续期+反向代理配置 极细致教程
2401_88223409的博客
02-13 1250
手把手带你配置ssl证书自动续期和反向代理,指导如何代理frp内网穿透
ACME生成免费证书,默认自动续期
Charles的专栏
03-20 1450
除了使用dns的方式外,还可以使用http的方式来生成证书(如果不想通过网站根目录来验证,那么需要单独添加一个location来保证acme可以访问到生成的文件)由于acme被ZeroSSL收购,所以默认的证书服务商是ZeroSSL,但是此证书生成时会携带邮箱,因此更换为letsencrypt。申请好的账号信息(AliyunDNSFullAccess权限),填写在acme的account.conf文件中。acme默认生成的是ECC证书,如果需要生成RSA的证书,需要在原有的命令后面添加。
利用 ACME 实现SSL证书自动化配置更新
我的部落格
10-10 979
利用 ACME 实现SSL证书自动化配置更新
如何用ACME.SH实现SSL证书自动化管理?
DNSPod
08-23 544
在上篇《免费SSL证书有效期缩短至90天,该如何应对?》中,想必大家都已经get到了——建站必备四件套之SSL证书的有效期不断缩短已成不可逆的趋势。这一趋势下,如何有效管理SSL证书成了一道难题。有机智的小伙伴反馈,使用ACME.SH就能实现SSL证书的无限“续杯”啦!那什么是ACME.SH?怎么用它来申请管理SSL证书?它有哪些优势和不足?带着这些疑问让我们来一探究竟~01什么是ACME.SH...
acme-companion:为Nginx代理自动生成ACME SSL证书
04-12
acme-companion是的轻量级伴侣容器。 它通过ACME协议为代理的Docker容器处理SSL证书的自动创建,更新和使用。 如果使用latest版本,则必读:此项目的v2.0.0版本标记了Docker镜像所使用的ACME客户端从到 此开关会导致某些向后不兼容的更改,因此在更新映像之前,请阅读和更新的文档以获取更多详细信息。 最重要的更改是,容器现在需要安装到/etc/acme.sh的卷,才能保留ACME帐户密钥和SSL证书。 使用simp_le的最后一个标记版本是v1.13.1 。 特征: 使用自动创建/更新Let's Encrypt(或其他ACME CA)证书。 让我们仅通过http-01挑战来加密/ ACME域验证。 在证书创建/续订时自动更新和重新加载Nginx配置。 支持创建。 在启动时创建强大的Diffie-Hellman集团。 使用所有版本的Docker
nginx 自动续签ssl acme zerossl
03-16
好的,我现在需要帮助用户配置Nginx使用ZeroSSLACME协议自动续签SSL证书。首先,我得回忆一下ACME.sh工具的使用,因为用户提到了ACME协议和ZeroSSL。记得ACME.sh是一个常用的脚本,用于自动化证书颁发和管理。 ...
使用 acme.sh 配置SSL 证书
santian
01-02 315
支持 5 个正式环境 CA,分别是。替换为你需要申请证书的域名。替换为你需要安装证书的域名。
ACME自动更新Nginx 网站证书
weixin_40933914的博客
07-01 365
1、安装acme.sh登录后复制 curl https://get.acme.sh | sh -s email=business@kai.com ~]# ls /root/.acme.sh/ account.conf acme.sh acme.sh.csh acme.sh.env deploy dnsapi...
acme.sh在nginx环境配置,ssl证书测试
coder_copy的博客
10-10 799
续写。
Nginx 域名SSL证书配置(网站 http 升级为 https) acme.sh 申请免费SSL永久证书(自动续期)
Japhet_jiu的博客
05-06 3841
ssl证书,看这一篇,就够了
【Let‘s Encrypt SSL】使用 acme.sh 给 Nginx 安装 Let’s Encrypt 提供的免费 SSL 证书
apple_csdn的博客
12-13 3329
安装 acme.sh 设置邮箱用来接受重要通知,如证书快过期未更新通知执行命令后几秒就安装好了,如果半天没有反应请 Ctrl+C 后重新执行命令。acme.sh 安装在 ~/.acme.sh 目录下,自动创建了一个 cronjob,每天 0:00 点自动检测所有的证书,如果快过期了, 则会自动更新。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值