使用acme.sh配置https证书,并在微信小程序中使用

已于 2024-11-02 11:01:13 修改
阅读量3.6k 收藏 8
点赞数 4
分类专栏: linux 文章标签: https 服务器 ssl证书 acme.sh 小程序免费证书
于 2022-11-25 22:05:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_38800446/article/details/128044749
版权

想使用免费的https证书怎么办?想自动给证书续期怎么办?

Let’s Encrypt 是一家免费、开放、自动化的证书颁发机构(CA),为公众的利益而运行。 它是一项由 Internet Security Research Group (ISRG) 提供的服务。
以尽可能对用户友好的方式免费提供为网站启用 HTTPS(SSL/TLS)所需的数字证书

官网上列出有很多可支持生成证书及维护的客户端工具
https://letsencrypt.org/zh-cn/docs/client-options/
这里选择acem.sh,使用很简单

0、证书链问题

最重要的问题,所以先说
按一般的教程配置后,浏览器都通过了,但是微信小程序无法使用访问,这是因为微信要求证书链完整,必须引用那个fullchain.cer才可以。
一定要注意,引用的cer文件不能是域名位名称那个cer文件,否则微信小程序不认,必须配置为fullchain.cer才可以。
这个问题坑了我太久了。

文末附证书评级检测方法。

一、acme.sh 安装

  1. 执行远程脚本
curl https://get.acme.sh | sh -s email=我的邮箱地址

这一步之后,会在当前用户的home目录下初始化相关文件。如果是root用户,那么其位于为/root目录下。
直接使用ls命令将无法查看,因为下载的文件是以点.开头,而在linux上这种格式的文件是属于隐藏文件。因此应以ls -al命令进行查看

  1. 给路径下的可执行文件指定一个方便使用的别名。
alias acme.sh=/root/.acme.sh/acme.sh

执行后,可在其它目录下使用acme.sh

问题:上面脚本的执行会从境外服务器下载文件,很多时候可能会超时而下载失败。
如果你的安装服务器位于中国大陆境内, 访问 github 可能会不成功.
所以安装可能会失败.
推荐从这里下载安装:
https://gitee.com/neilpang/acme.sh
安装步骤:
根据 How-to-install#3-or-git-clone-and-install
git clone https://gitee.com/neilpang/acme.sh.git
cd acme.sh
./acme.sh --install -m my@example.com

二、单域名证书生成

  1. 生成证书。
    由于我已经安装了nginx反向代理,ssl服务也是通过nginx提供,因此我这里选择的验证方式为本地nginx
acme.sh --issue -d 我的域名 --nginx
  1. 修改nginx中cert路径指向这里

! 下面一定要注意,引用的cer文件不能是域名位名称那个cer文件,否则微信小程序不认,必须配置为fullchain.cer才可以。

server {
    listen 443 ssl;
    
    server_name 目标域名;
    
    ssl_verify_client      off;
    ssl_certificate /root/.acme.sh/我的域名/fullchain.cer;  #需要将cert-file-name.pem替换成已上传的证书文件的名称。
    ssl_certificate_key /root/.acme.sh/我的域名/我的域名.key; #需要将cert-file-name.key替换成已上传的证书密钥文件的名称。
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; #表示使用的TLS协议的类型。
    ssl_prefer_server_ciphers on;

    	……其它配置项

}

有些情况下,可能这种方式

Pending, The CA is processing your order, please just wait. (1/30)
[Fri Jan 26 10:22:14 CST 2024] Pending, The CA is processing your order, please just wait. (2/30)
[Fri Jan 26 10:22:18 CST 2024] Pending, The CA is processing your order, please just wait. (3/30)
[Fri Jan 26 10:22:22 CST 2024] Invalid status,xxxx.com:Verify error detail:139.198.108.126: Fetching http://xxxxx/.well-known/acme-challenge/0koFSrvUu0diIpOujYG1OfUQ3x3WCF3PS5Ec: Timeout during connect (likely firewall problem)
[Fri Jan 26 10:22:22 CST 2024] Restoring from /root/.acme.sh/xxxxx.com_ecc/backup/xxxxx.com.nginx.conf to /etc/nginx/conf.d/zhilian.conf
[Fri Jan 26 10:22:22 CST 2024] Reload nginx
[Fri Jan 26 10:22:23 CST 2024] Please check log file for more details: /root/.acme.sh/acme.sh.log

这样的话,就在nginx中增加配置webroot,以下如果用root属性,那么需要在对应路径下提前创建好目录/.well-known/acme-challenge/

location /.well-known/acme-challenge/ {
   root /var/opt/z/iiot/index-web/;
}

然后使用命令

acme.sh --issue -d xxxxxx.com --nginx --force --webroot /var/opt/z/iiot/index-web/

再不行,就可能是证书提供商需要切换指定,这里指定使用zeroSSL生成。(注意zeroSSL和lets encrypt生成的证书路径是不同的)

acme.sh --server zerossl  --issue -d xxxx.com --nginx --force --webroot /var/opt/z/iiot/index-web/

三、泛解析域名生成

需要使用dns认证方式

  1. 先执行命令
acme.sh --issue --dns -d *.demo.我的域名 \
 --yes-I-know-dns-manual-mode-enough-go-ahead-please

执行后在输出信息中将包含

[Sun Jan 29 06:30:19 PM CST 2023] Add the following TXT record:
[Sun Jan 29 06:30:19 PM CST 2023] Domain: '_acme-challenge.demo.我的域名'
[Sun Jan 29 06:30:19 PM CST 2023] TXT value: 'HJiuhaoFfJehACWOQEiMc6z7DsSEtp0HynIg'

按照提示信息,在域名解析中添加一条txt记录,域名和值分别为上面所输出的内容中提示的填写。
如图:
在这里插入图片描述
域名解析配置完成后,再次执行

acme.sh --renew -d *.demo.我的域名 \
  --yes-I-know-dns-manual-mode-enough-go-ahead-please

四、补充

查看定时任务

在第一步执行远程脚本后,会自动生成定时任务检查证书并自动更新,不必再自己每年手动替换生成证书。
可使用指令查看本机已开启的定时任务

[root@i-ltysspwz ~]# crontab -l
14 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
  • crontab -l 表示列出所有的定时任务
  • crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除,执行crontab -l后会提示用户:“no crontab for admin”

301重定向

可在nginx中配置将80端口的访问301重定向到https的地址上。

server {
    server_name a.demo.我的域名;
    listen 80;
    ssl_certificate /root/.acme.sh/*.demo.我的域名/*.demo.我的域名.cer;
    ssl_certificate_key /root/.acme.sh/*.demo.我的域名/*.demo.我的域名.key;
    return 301 https://u.demo.我的域名$request_uri;
}

证书链问题补充

可以在https://myssl.com/ 查看自身域名的评级,如果引用的是域名位名称的cer文件,那一般评级会是B,下面会给出降级原因主要为证书链不完整。
在这里插入图片描述

使用fullchain.cer后,再次检测刷新报告,证书将成为A
在这里插入图片描述

再进一步按提示在nginx中增加配置,即可将评级提升为A+

ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
add_header Strict-Transport-Security "max-age=31536000";

在这里插入图片描述

五、通过内网穿透进行证书生成

需要有公网服务器,因为域名提供商要进行地址校验。

在这里插入图片描述

iru
关注
专栏目录
只需五步实现免费HTTPS数字证书自动部署更新——acme.sh
遇码开源社区
04-24 1190
acme.sh 实现了 acme 协议, 不仅可以从 zerossl或者letsencrypt 自动生成免费证书,还支持自动更新快过期的证书。总之就是主打一个免费还方便,让你轻松实现HTTPS证书自由。
acme.sh 免费申请SSL证书(保姆级别教程)
Harry_zsh的博客
02-17 1486
使用acme.sh获取https证书
acme.sh自动获取阿里云泛域名证书
weixue108的博客
03-07 611
使用acme.sh
acme.sh管理 SSL/TLS 证书
最新发布
rufeike的博客
04-01 1299
acme.sh 是一个基于 ACME 协议的轻量级工具,用于自动化申请、续签和管理 SSL/TLS 证书(如 Let’s Encrypt 证书)。权限问题:确保证书目录可被 Web 服务器读取(如 Nginx 用户需访问 /path/to/key.pem)。acme.sh 自动创建定时任务,证书到期前会主动续签(Let’s Encrypt 证书有效期为 90 天)。证书文件默认保存在 ~/.acme.sh/example.com/。方式二:DNS 验证(无需服务器,适合通配符证书),添加定时任务(通过。
acme.sh进行ssl证书申请
m0_54011621的博客
08-22 1417
/ 信息保存在 .acme.sh/account.conf// ↓ 填入账号的token令牌 [ root@ .acme.sh ] # export CF_Token="Y_jpG9AnfQmuX5Ss9M_qaNab6SQwme3HWXNDzRWs" // ↓ 填入账号域名的ID [ root@ .acme.sh ] # export CF_Account_ID="763eac4f1bcebd8b5c95e9fc50d010b4"
【Linux】使用 acme.sh 实现了 acme 协议生成免费SSL 证书
ihero的博客
02-22 2910
acme.sh 实现了 acme 协议, 可以从多个CA提供商获取SSL证书,包括从 letsencrypt 获取生成免费证书.下面详细介绍如下:
自动化部署证书 acme.sh 使用教程
执笔阑珊的博客
02-25 6917
本文将介绍使用 acme.sh 配置自动续签的 SSL 证书
使用acme.sh安装 Let’ s Encrypt 提供的免费 SSL 证书
weixin_42396197的博客
11-04 1046
使用acme.sh安装 Let’ s Encrypt 提供的免费 SSL 证书
acme部署https证书_acme 自动部署证书
2401_84240129的博客
04-12 1208
教程:https://github.com/acmesh-official/acme.sh/wiki/%E8%AF%B4%E6%98%8Ecurl https://get.acme.sh | sh上述命行执行结束后,会在 中生成相关的文件,且会在 中自动添加一条每天凌晨执行的定时任务。语法:acme.sh --issue -d 域名1 -d 域名2 --webroot 网站根目录示例:acme.sh --issue -d blog.zhangjianqiang.top --webroo
微信小程序HTTPS安全配置:nginx部署流程与案例解读
![微信小程序HTTPS安全配置:nginx部署流程与案例解读]...随后,详细介绍了nginx的安装与基本配置,以及在微信小程序中实施HTTPS安全配置的具体实践。文章还探
使用acme-tiny申请免费SSL证书
weixin_42112239的博客
06-10 544
网络发展迅猛,数据传输安全日益备受重视,微信小程序等更是要求服务端地址必须支持HTTPS协议,SSL证书不可或缺!
React(Taro)+Go+AKS快速构建微信小程序之一:AKS上的第一个Go API
sinbai2020的博客
04-12 798
预告:最近因为工作的关系,从0开始学习React(Taro),Go,AKS,打算边学习边总结,写一个系列文章加深理解。系列文章的目标是创建一个给美发公司用的微信小程序,叫做rapunzel。 准备Azure环境 创建AKS cluster 在Azure Portal新建一个Resource Group,便于资源管理: 名字和配置如下。Southeast Asia在新加坡,相对访问速度更快。 新建一个Kubernetes Service: Basics页面,Resource Group选
服务器配置https协议,三种免费的方法
热门推荐
HashTang的博客
05-30 3万+
最近想搞一个网站玩玩,发布网站用https协议已经是大势所趋了。例如微信小程序,不使用https协议根本不让接入。所以,分享一下我尝试过的三种方法。 1.Linux自签(OPENSSL生成SSL自签证书) 2.阿里云免费证书 3.Let’s Encrypt永久免费SSL证书【墙裂推荐】 一、Linux自签(OPENSSL生成SSL自签证书) 第1步:生成私钥 ...
使用 Acme.sh 自动生成和续签免费 SSL 证书(含通配符支持)
dnpao的专栏
12-04 6035
是一个开源的脚本,能够从等证书颁发机构(CA)获取免费HTTPS 证书。该脚本特别简单易用,且支持多种验证方式。下面将详细介绍使用 Acme.sh 生成、安装和更新证书的各个步骤。
免费https证书-acme
极客
03-16 468
如果你有自己的域名且不想花钱怕麻烦的话,不妨看看推荐的,免费https证书省心省力!
acme.sh生成https证书
逍遥的前端笔记
08-02 792
SSL 价格不便宜, 本节介绍如何使用 acme.sh 生成免费SSL 证书
acme.sh 使用教程
gitblog_00227的博客
08-08 940
acme.sh 使用教程 acme.shA pure Unix shell script implementing ACME client protocol项目地址:https://gitcode.com/gh_mirrors/ac/acme.sh 项目介绍 acme.sh 是一个纯 Unix shell 脚本,实现了 ACME (Automatic Certificate Management...
微信小程序request配置HTTPS
xzjayx的博客
11-27 9175
微信小程序https请求访问,安全证书颁发解决。
微信小程序为什么要用https????https之解析
江一铭
08-23 2104
微信小程序一定要用https的理由,小程序使用HTTPS链接分析 一、HTTPS HTTPS是HTTP的安全版,在HTTP的基础上加入SSL证书 (服务器证书)后形成的安全协议,不但可以建立信息加密通过保障数据传输的安全,还能认证服务器的真实性,防止“钓鱼”网站。每个微信小程序都需要先设置一个通讯合法域名,通过HTTPS请求进行网络通信,不满足的域名和协议无法发出请求,小程序也会无法使用。 二、 HTTPS保障小程序使用安全 在互联网...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值