最近需要到SSL证书,又想免懒。选择脚本来更新SSL证书文件
Let’s Encrypt是一个由非营利性组织互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA)。
简单的说,借助Let’s Encrypt颁发的证书可以为我们的网站免费启用HTTPS(SSL/TLS) 。
那我们通过一个脚本来申请:
脚本名称: acme.sh
安装acme.sh:
curl https://get.acme.sh | sh创建指令:
alias acme.sh=~/.acme.sh/acme.sh测试收否安装成功:
acme.sh --Version
出现版本,安装完成。
生成证书
acme.sh --issue -d demo.com -d www.demo.con -w
/home/wwwroot/demo.com
–issue是acme.sh脚本用来颁发证书的指令;
-d是–domain的简称,其后面须填写已备案的域名;
-w是–webroot的简称,其后面须填写网站的根目录。
查看证书
acme.sh --list
Nginx 配置
项目是Nginx,下面是对Nginx的配置。
acme.sh –installcert -d demo.com \
–key-file /etc/nginx/ssl/demo.com.key \
–fullchain-file /etc/nginx/ssl/fullchain.cer \
–reloadcmd “service nginx force-reload”
通过 installcert 来完成安装,此处我们需要把*.key,fullchain.cer 文件拷贝到指定位置。最后通过reload命令让Nginx重载(force-reload 我环境中无法使用此参数,这里换成 restart)。
最后我们需要配置Nginx的443 server
1 | server { |
到此基本上配置完成了。
Acme.sh 通过定时任务可以实现定期更新。 查看 crontab -l
acme.sh的更新维护
acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步。
手动更新: acme.sh --upgrade
自动更新:acme.sh --upgrade --auto-upgrade
取消自动更新: acme.sh --upgrade --auto-upgrade 0
