# 用acme.sh申请证书(含泛域名)

最新推荐文章于 2025-03-07 12:50:49 发布
最新推荐文章于 2025-03-07 12:50:49 发布
阅读量2k 收藏 1
点赞数
分类专栏: IT 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhf_sy/article/details/133941056
版权

用acme.sh申请证书(含泛域名)

文章目录


以下主要以阿里云dns api方式申请泛域名证书为例,其他请自己实践

安装方法:
https://github.com/acmesh-official/acme.sh

支持的dns解析提供商:
https://github.com/acmesh-official/acme.sh/wiki/dnsapi

用法详解:
https://github.com/acmesh-official/acme.sh/wiki/%E8%AF%B4%E6%98%8E

1 申请证书:

1.1 使用dns api方式申请证书(以阿里云dns为例)

[root@t-deploy-10-1-203-177:~]# export Ali_Key="LTA232343243Id4X"
[root@t-deploy-10-1-203-177:~]# export Ali_Secret="lvpS238u948539u053034050JJ4pn" 
[root@t-deploy-10-1-203-177:~]# 
[root@t-deploy-10-1-203-177:~]# 
[root@t-deploy-10-1-203-177:~]# acme.sh --issue --dns dns_ali  -d gccc.cn -d *.gccc.cn
[20231017日 星期二 14:04:36 +07] Using CA: https://acme.zerossl.com/v2/DV90
[20231017日 星期二 14:04:36 +07] Create account key ok.
[20231017日 星期二 14:04:36 +07] No EAB credentials found for ZeroSSL, let's get one
[2023年 10月 17日 星期二 14:04:38 +07] Registering account: https://acme.zerossl.com/v2/DV90
[2023年 10月 17日 星期二 14:04:42 +07] Registered
[2023年 10月 17日 星期二 14:04:42 +07] ACCOUNT_THUMBPRINT='CaqZfrDFbArDY7XxcyjgKtFSG3EvdOdK72E_Gke'
[2023年 10月 17日 星期二 14:04:42 +07] Creating domain key
[2023年 10月 17日 星期二 14:04:42 +07] The domain key is here: /root/.acme.sh/gccc.cn_ecc/gccc.cn.key
[2023年 10月 17日 星期二 14:04:42 +07] Multi domain='DNS:gccc.cn,DNS:*.gccc.cn'
[2023年 10月 17日 星期二 14:04:42 +07] Getting domain auth token for each domain
[2023年 10月 17日 星期二 14:04:49 +07] Getting webroot for domain='gccc.cn'
[2023年 10月 17日 星期二 14:04:49 +07] Getting webroot for domain='*.gccc.cn'
[2023年 10月 17日 星期二 14:04:49 +07] Adding txt value: C9s1s10cxiYtjs9c9sTgGcihbyawv0OW5AvFcZiLs5g for domain:  _acme-challenge.gccc.cn
[2023年 10月 17日 星期二 14:04:54 +07] The txt record is added: Success.
[2023年 10月 17日 星期二 14:04:54 +07] Adding txt value: Yuysn3yMTFdeAmUZZW0Rf1eiFXCCjjXfYJINwX45L60 for domain:  _acme-challenge.gccc.cn
[2023年 10月 17日 星期二 14:05:00 +07] The txt record is added: Success.
[2023年 10月 17日 星期二 14:05:00 +07] Let's check each DNS record now. Sleep 20 seconds first.
[20231017日 星期二 14:05:21 +07] You can use '--dnssleep' to disable public dns checks.
[20231017日 星期二 14:05:21 +07] See: https://github.com/acmesh-official/acme.sh/wiki/dnscheck
[20231017日 星期二 14:05:21 +07] Checking gccc.cn for _acme-challenge.gccc.cn
[20231017日 星期二 14:05:23 +07] Domain gccc.cn '_acme-challenge.gccc.cn' success.
[20231017日 星期二 14:05:23 +07] Checking gccc.cn for _acme-challenge.gccc.cn
[20231017日 星期二 14:05:24 +07] Domain gccc.cn '_acme-challenge.gccc.cn' success.
[20231017日 星期二 14:05:24 +07] All success, let's return
[2023年 10月 17日 星期二 14:05:24 +07] Verifying: gccc.cn
[2023年 10月 17日 星期二 14:05:25 +07] Processing, The CA is processing your order, please just wait. (1/30)
[2023年 10月 17日 星期二 14:05:31 +07] Success
[2023年 10月 17日 星期二 14:05:31 +07] Verifying: *.gccc.cn
[2023年 10月 17日 星期二 14:05:32 +07] Processing, The CA is processing your order, please just wait. (1/30)
[2023年 10月 17日 星期二 14:05:37 +07] Success
[2023年 10月 17日 星期二 14:05:37 +07] Removing DNS records.
[2023年 10月 17日 星期二 14:05:37 +07] Removing txt: C9s1s10cxiYtjs9c9sTgGcihbyawv0OW5AvFcZiLs5g for domain: _acme-challenge.gccc.cn
[2023年 10月 17日 星期二 14:05:44 +07] Removed: Success
[2023年 10月 17日 星期二 14:05:44 +07] Removing txt: Yuysn3yMTFdeAmUZZW0Rf1eiFXCCjjXfYJINwX45L60 for domain: _acme-challenge.gccc.cn
[2023年 10月 17日 星期二 14:05:51 +07] Removed: Success
[2023年 10月 17日 星期二 14:05:51 +07] Verify finished, start to sign.
[2023年 10月 17日 星期二 14:05:51 +07] Lets finalize the order.
[2023年 10月 17日 星期二 14:05:51 +07] Le_OrderFinalize='https://acme.zerossl.com/v2/DV90/order/1ync1anZoV2eaUxXFKJ3Iw/finalize'
[2023年 10月 17日 星期二 14:05:54 +07] Order status is processing, lets sleep and retry.
[2023年 10月 17日 星期二 14:05:54 +07] Retry after: 15
[2023年 10月 17日 星期二 14:06:10 +07] Polling order status: https://acme.zerossl.com/v2/DV90/order/1ync1anZoV2eaUxXFKJ3Iw
[2023年 10月 17日 星期二 14:06:11 +07] Downloading cert.
[2023年 10月 17日 星期二 14:06:11 +07] Le_LinkCert='https://acme.zerossl.com/v2/DV90/cert/0nvnf-_7DEQA2qEN2oA8rw'
[20231017日 星期二 14:06:13 +07] Cert success.
-----BEGIN CERTIFICATE-----
MIIEAzCCA4mgAwIBAgIRAMmWuGOlbvX1iuU5pu7OZs0wCgYIKoZIzj0EAwMwSzEL
MAkGA1UEBhMCQVQxEDAOBgNVBAoTB1plcm9TU0wxKjAoBgNVBAMTIVplcm9TU0wg
RUNDIERvbWFpbiBTZWN1cmUgU2l0ZSBDQTAeFw0yMzEwMTcwMDAwMDBaFw0yNDAx
MTUyMzU5NTlaMBUxEzARBgNVBAMTCmdjLWxpZmUuY24wWTATBgcqhkjOPQIBBggq
hkjOPQMBBwNCAAQ93/BwV3RV+pFKQM9kDIPI4YeAQ6h7zLYSK4cLVwPzh1RB8lht
zkToUH7MAOE04MsL19ZzJOiEx0DN6ZbZkXaNo4ICgjCCAn4wHwYDVR0jBBgwFoAU
D2vmS845R672fpAeefAwkZLIX6MwHQYDVR0OBBYEFHWYDlRNjglfOgD2PCNa8yoL
Z6O4MA4GA1UdDwEB/wQEAwIHgDAMBgNVHRMBAf8EAjAAMB0GA1UdJQQWMBQGCCsG
AQUFBwMBBggrBgEFBQcDAjBJBgNVHSAEQjBAMDQGCysGAQQBsjEBAgJOMCUwIwYI
KwYBBQUHAgEWF2h0dHBzOi8vc2VjdGlnby5jb20vQ1BTMAgGBmeBDAECATCBiAYI
KwYBBQUHAQEEfDB6MEsGCCsGAQUFBzAChj9odHRwOi8vemVyb3NzbC5jcnQuc2Vj
dGlnby5jb20vWmVyb1NTTEV220RvbWFpblNlY3VyZVNpdGVDQS5jcnQwKwYIKwYB
BQUHMAGGH2h0dHA6Ly96ZXJvc3NsLm9jc3Auc2VjdGlnby5jb20wggECBgorBgEE
AdZ5AgQCBIHzBIHwAO4AdQBss4g/Crb7lVHCYcz1h7o0tKTNuyncaEIKn+ZnTFo6
dAAAAYs8dJBdAAAEAwBGMEQCIFKtFwFRLSSagF0crT4kHDGO/a/B9+dSP2mG30pc
48GnAiBEVad89HKonMBYhIYKxmC8KTcO80GeOJsBE9Y/DR2OIAB1ANq2v2s/tbYi
n5vCu1xr6HCRcWy7UYSFNL2kPTBI1/urAAABizx0kMkAAAQDAEYwRAIgBZnx+yKN
Ulu5RIWHAsdAxiNomn2IzlxX2ioFSWRxrEQCIAfC/EZwCipTtR84H3XHD4wCbgSu
mrtkTck6q/+upjnDMCMGA1UdEQQcMBqCCmdjLWxpZmUuY26CDCouZ2MtbGlmZS5j
bjAKBggqhkjOPQQDAwNoADBlAjBu4CII1xsZCYaT7LhS7eorKbaTqWcy3XGTaiac
t49cGPe5tJquJGOvyZuh9EOn8ysCMQCwb6SzCH1jyR51F22G9Sn5QARzfP5mYrdx
0UqKYgayJnzrUoknCDES9YWxx8IsTgQ=
-----END CERTIFICATE-----
[20231017日 星期二 14:06:13 +07] Your cert is in: /root/.acme.sh/gccc.cn_ecc/gccc.cn.cer
[20231017日 星期二 14:06:13 +07] Your cert key is in: /root/.acme.sh/gccc.cn_ecc/gccc.cn.key
[20231017日 星期二 14:06:13 +07] The intermediate CA cert is in: /root/.acme.sh/gccc.cn_ecc/ca.cer
[20231017日 星期二 14:06:13 +07] And the full chain certs is there: /root/.acme.sh/gccc.cn_ecc/fullchain.cer

1.2 附加:也可以用其他方式申请证书

# A、使用指定webroot目录方式:
acme.sh --issue -d mydomain.com                     --webroot /wwwroot/mydomain.com/
acme.sh --issue -d mydomain.com -d www.mydomain.com --webroot /wwwroot/www.mydomain.com/    #-- 指定多个域名

# B、使用自动寻找webroot目录方式:
acme.sh --issue -d www.mydomain.com --nginx

# C、使用独立方式(一般用于还没有web服务的初始化阶段)
# 如果你还没有运行任何 web 服务, 80 端口是空闲的, 那么 acme.sh 还能假装自己是一个webserver, 临时听在80 端口, 完成验证:
acme.sh --issue -d mydomain.com --standalone

# D、使用手动dns方式
acme.sh --issue --dns -d mydomain.com \
 --yes-I-know-dns-manual-mode-enough-go-ahead-please
# 添加指定 txt 记录,等待解析完成之后, 重新生成证书:
acme.sh --renew -d mydomain.com \
  --yes-I-know-dns-manual-mode-enough-go-ahead-please
# 注:这种方式不能自动renew证书

2 续签证书:

acme.sh --renew --dns dns_ali  -d gccc.cn -d *.gccc.cn

自动创建的计划任务会自动续签吧,这个应该不需要

这是自动创建的计划任务:

36 20 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

3 查看证书

[root@t-deploy-10-1-203-177:~]# acme.sh --list
Main_Domain  KeyLength  SAN_Domains   CA           Created               Renew
gccc.cn   "ec-256"   *.gccc.cn  ZeroSSL.com  2023-10-17T07:06:13Z  2023-12-15T07:06:13Z

4 安装证书:

[root@t-deploy-10-1-203-177:~]# mkdir /srv/certs/gccc.cn
[root@t-deploy-10-1-203-177:~]# 
[root@t-deploy-10-1-203-177:~]# acme.sh --install-cert  -d gccc.cn -d *.gccc.cn  --key-file /srv/certs/gccc.cn/gccc.cn.key  --cert-file /srv/certs/gccc.cn/gccc.cn.cer  --fullchain-file /srv/certs/gccc.cn/gccc.cn-fullchain.cer  --reloadcmd "scp -r /srv/certs/gccc.cn root@10.1.203.179:/srv/certs/" 
[20231017日 星期二 15:03:17 +07] The domain 'gccc.cn' seems to have a ECC cert already, lets use ecc cert.
[20231017日 星期二 15:03:17 +07] Installing cert to: /srv/certs/gccc.cn/gccc.cn.cer
[20231017日 星期二 15:03:17 +07] Installing key to: /srv/certs/gccc.cn/gccc.cn.key
[20231017日 星期二 15:03:17 +07] Installing full chain to: /srv/certs/gccc.cn/gccc.cn-fullchain.cer
[20231017日 星期二 15:03:17 +07] Run reload cmd: scp -r /srv/certs/gccc.cn root@10.1.203.179:/srv/certs/
gccc.cn.cer                                                                                                                                              100% 1452     1.2MB/s   00:00    
gccc.cn-fullchain.cer                                                                                                                                    100% 4120     4.7MB/s   00:00    
gccc.cn.key                                                                                                                                              100%  227   262.3KB/s   00:00    
[20231017日 星期二 15:03:17 +07] Reload success

5 最后

img

爱你!

acme.sh证书申请
欢迎你们到来,希望能帮到大家
06-26 670
说明:1、想每个项目都接入域名+端口访问,所以通过acme.sh申请泛域名证书2、阿里云域名解析,并且指定公网ip地址对应的公共Nginx服务3、acme.sh证书只有3个月,所以要用shell自动续签证书4、阿里云域名已解析,所以二级域名、三级域名能正常解析,如下图所示,
acme.sh进行ssl证书申请
m0_54011621的博客
08-22 1328
/ 信息保存在 .acme.sh/account.conf// ↓ 填入账号的token令牌 [ root@ .acme.sh ] # export CF_Token="Y_jpG9AnfQmuX5Ss9M_qaNab6SQwme3HWXNDzRWs" // ↓ 填入账号域名的ID [ root@ .acme.sh ] # export CF_Account_ID="763eac4f1bcebd8b5c95e9fc50d010b4"
基于acme免费申请泛域名证书
最美dee时光的博客
11-26 672
参考文档:https://github.com/acmesh-official/acme.sh
acme.sh自动获取阿里云泛域名证书
最新发布
weixue108的博客
03-07 421
使用acme.sh
ACME协议申请泛域名证书SSL
mixboot
08-22 818
ACME协议申请泛域名证书
通过 acme.sh 申请 Zero SSL 免费泛域名证书
zhangxin09的专栏
05-31 7277
就是白嫖,而且理论上是无限的……中间有些坑,来看看我怎么踩!
centos随笔04:acme.sh申请https证书
uikoo9的专栏
06-08 1301
搭建网站的时候,有的网站地址是http://xxx,有的是https://,两者的不同是https更安全,申请了ssl证书,前几年http类的网站还挺多,目前看基本都是https类网站了,ssl证书有各种档位,免费,收费每年几百,几千到几万各不同,如果是自己搭建网站使用免费证书应该够用了,一般申请免费证书使用acme.sh比较方便github:GitHub - acmesh-official/acme.sh: A pure Unix shell script implementing ACME client
acme.sh申请Let‘s encrypt泛域名证书Docker化部署
03-27 5692
Docker部署acme.sh申请Let's encrypt泛域名证书一:手动安装acme.sh二:申请证书2.1 DNSAPI申请方式2.2 DNS手动校验方式2.3 HTTP校验方式申请2.4 无80端口申请证书2.5 证书续签三:Docker部署acme.sh申请证书3.1 安装docker-compose3.2 启动容器3.3 申请证书3.4 设置 crontab 任务自动续签 一:手动安...
基于 acme.sh 自动申请域名证书(群晖 Docker)
自留地
05-30 5331
本文介绍如何使用 Docker 镜像 acme.sh,实现名证书自动申请和续签功能。 acme.sh 可以从 letsencrypt 生成免费的证书,支持 Docker 部署,支持 http 和 DNS 两种域名验证方式,其中包括手动,自动 DNS 及 DNS alias 模式方便各种环境和需求。可同时申请合并多张单域名,泛域名证书,并自动续签证书和部署到项目。 准备 DNS API 本文以腾讯云为例申请 DNS API,其他解析平台请参考官方文档 dnsapi。 首先,打开 DNSPOD,点击右上角头像
acme.sh申请ssl免费证书
wuxingge的博客
03-05 1013
参考。
HTTPS之使用acme.sh申请免费ssl证书
余_小凡 的博客
02-01 1440
是一个集成了 ACME 客户端协议的 Bash 脚本。2、步骤二:对域名授权(FreeSSL为例)注意:修改生成密钥对的路径,执行命令生成密钥对。4、根据生成密钥的路径修改nginx配置文件。1、步骤一:安装 acme.sh。为自己的邮箱 ,记得替换。b、安装完重新加载Bash。c、可以开启自动更新。
Let‘s Encrypt 泛域名证书申请acme.sh
公羽向阳的博客
08-04 592
Let‘s Encrypt 泛域名证书申请acme.sh
使用 acme.sh 生成免费的泛域名证书
m0_69214212的博客
04-12 2212
原文发布在 不二博客 在 使用 acme.sh 为网站生成永久免费证书 一文中介绍了如何安装 acme.sh 以及如何生成证书,这篇文章就来说一说如何使用 acme.sh 来生成泛域名证书,即主域名和所有该主域名下的所有二级域名都使用一个证书,省去了为每个域名都生成证书的麻烦。 本篇文章以腾讯云的 DNSPod 为例,如果你使用的是阿里云或者别的域名服务商,请自行搜索解决。 **DNS 方式的真正强大之处在于可以使用域名解析商提供的 api 自动添加 TXT 记录完成验证。**我们就是利用 DNS 方式来.
全站HTTPS升级系列(二)基于 acme.sh从Letsencrypt生成免费的泛域名证书
weixin_33981932的博客
01-11 718
前言 上篇,我们科普了HTTPS的简单概念 本篇,我们介绍基于 acme.sh从Letsencrypt生成免费的泛域名证书 环境 linux服务器,操作系统为 centos7.2 nginx 1.10.1 acme.sh v2.8.0 一、安装acme.sh # 安装依赖环境 yum -y install curl cron socat # 下载并安装acme.sh curl https:/...
使用acme免费获取泛域名SSL证书
丨丶Story随笔
03-07 582
在线RSA PKCS#1 转 PKCS8格式私钥、convert pkcs8 to pkcs#1 private key--查错网。如果安装有宝塔,证书一般默认存放在:/www/server/panel/vhost/cert/xxx。复制:fullchain.cer 和 转换后的key。
acme自动证书申请
weixin_30354675的博客
09-27 469
安装acme.sh curl https://get.acme.sh | sh acme.sh默认安装到了当前家目录。 [root@iZbp17hycbhnayg00ohec9Z ~]# ~/.acme.sh/ [root@iZbp17hycbhnayg00ohec9Z ~]# ll .acme.sh/ total 492 -rw-r--r-- 1 root root 296...
超级简单acme证书申请,不用dns配置,自动续期,个人网站首选
liu289747235的专栏
07-31 5463
执行下面的命令会生成证书文件相关的key和pem,改为你自己的路径和文件名。(1)将域名的解析指向服务器,并且服务器开启80端口的http服务。4 证书申请完成后,就可以配置https 443 服务了。这条命令acme将会自动检查更新证书是否过期,自动续期。方式二:通过自定webroot,((2)准备acme需要目录。方式一:通过指定dns。
使用acme.sh工具申请let‘s encrypt的泛域名证书
tinychen
01-10 1023
本文主要介绍如何使用acme.sh工具来申请let’s encrypt的泛域名证书。 1、安装acme.sh 安装acme.sh之前我们需要先安装必要的工具和依赖 yum install socat curl -y 接着我们安装acme.sh,过程比较简单,只需要执行下列操作即可自动安装。对于安装的用户,官方声称可以使用root用户或者普通用户,这里我们使用root用户进行操作。 curl https://get.acme.sh | sh 安装的过程比较简单,会在目录下创建一个隐藏目录,所有的相关文件
ACME申请SSL证书
qq_35650513的博客
07-19 3275
接下来,我们需要创建一个专门存放证书的文件夹,下文我们安装证书时,就会安装进这个文件夹里面。最后一步,安装至证书文件夹,并重启nginx加载SSL,出现下图代表SSL配置完成。紧接着,我们完善我们上文的nginx配置文件,加上SSL部分的配置信息。我们使用ACME申请域名前,需要先配置nginx文件。好的,接下来就可以申请域名了,出现下图代表申请成功。
centos7部署acme.sh
01-27
### 部署 acme.sh 实现 SSL 证书自动化管理 #### 准备工作 为了确保顺利安装和配置 `acme.sh`,需要先确认系统已更新至最新状态并安装必要的依赖工具。 ```bash sudo yum update -y sudo yum install git curl wget -y ``` #### 安装 acme.sh 通过 Git 下载最新的 `acme.sh` 脚本文件: ```bash curl https://get.acme.sh | sh ``` 这段命令会自动完成 `acme.sh` 的下载、编译以及安装过程。它还会创建一个定时任务来定期检查并续订即将过期的证书[^1]。 #### 设置 Web 服务器支持 对于 Apache 用户来说,重要的是要保证 `mod_ssl` 已经被正确加载。如果尚未安装此模块,则可以通过下面这条指令来进行安装: ```bash sudo yum -y install mod_ssl ``` 这一步骤确保了 HTTPS 请求能够得到妥善处理,并允许后续步骤中生成的 SSL/TLS 证书生效[^4]。 #### 自动化域名验证与证书签发流程 假设已经拥有一个正在运行中的网站服务,在 `/var/www/html/yourdomain/.well-known/acme-challenge/` 创建目录用于存放 Let's Encrypt 所需挑战响应文件。接着修改该路径下的权限以便于 web server 可读取这些临时文件。 ```bash mkdir -p /var/www/html/yourdomain/.well-known/acme-challenge/ chmod 755 /var/www/html/yourdomain/.well-known/acme-challenge/ ``` 现在可以执行如下命令让 `acme.sh` 自动生成所需的 SSL 证书: ```bash ~/.acme.sh/acme.sh --issue \ -d yourdomain.com \ -w /var/www/html/yourdomain ``` 上述操作完成后将会获得一对新的私钥及其对应的公钥证书存放在指定位置下,默认情况下位于用户的 home 文件夹内 `.acme.sh/yourdomain.com_ecc/`. #### 将新获取到的证书应用到实际环境中去 最后一步就是把刚产生的证书复制给 apache 使用, 并重启 httpd 使更改立即生效. ```bash ~/.acme.sh/acme.sh --install-cert -d yourdomain.com \ --cert-file /etc/pki/tls/certs/yourdomain.crt \ --key-file /etc/pki/tls/private/yourdomain.key \ --fullchain-file /etc/pki/tls/certs/fullchain.cer \ --reloadcmd "systemctl restart httpd" ``` 至此整个基于 CentOS 7 的 acme.sh 安装配置教程就全部结束了。未来每当接近有效期时,`acme.sh` 便会自动尝试重新申请更新版本的证书而无需人工干预。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值