cme.sh 生成免费证书,维护证书
什么是acme.sh
用shell脚本从Let’s Encrypt 或 zerossl 两个颁发证书的源站,获取ssl证书, 并定期维护的一个开源产品。在证书过期前,自动更新。为我们带来了开源的便利, 同时也节省了维护证书的所花的时间成本。
生成证书的流程
-
安装acme.sh
curl https://get.acme.sh | sh -s email=my@example.com//切换到let's encrypt源颁发机构 /root/.acme.sh/acme.sh --set-default-ca --server letsencrypt这里my@example.com可以随便填, 个人建议还是用自己的邮箱,本人的一个域名因为特殊字符没有自动更新, 会提前发邮件通知到。
-
下载生成证书
acme.sh --issue -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/www.mydomain.com是申请证书的域名, /home/wwwroot/mydomain.com 是域名对应的项目目录
-
复制证书到系统中证书所在的目录
acme.sh --install-cert -d example.com \ --key-file /path/to/keyfile/in/nginx/key.pem \ --fullchain-file /path/to/fullchain/nginx/cert.pem \ --reloadcmd "nginx -s reload"
遇到的一些问题
-
生成证书时,提示“Verify error , Connection refused” 或者 404
提示“Verify error: Fetching http://domain/.well-known/acme-challenge/lf-SJ97SVZRiumXXaPn-ZLVO7Vom10jAfRVzLp61SNc: Connection refused”
或者 “Verify error: Invalid response from http://domain/.well-known/acme-challenge/L9Hqu3SPv7d3exJY7csWQnuPj6tnG5Tpzt4KUiftzlE: 404”;
这里在项目目录做验证时用到的是http请求,而我的nginx只配置了https,http请求得不到响应,影响了验证。 所以将http请求重定向到https。 在nginx的配置文件中加入了下面代码
server {listen 80;server_name domain.com;# Redirect all port 80 (HTTP) requests to port 443 (HTTPS).return 301 https://domain.com$request_uri;}
重启nginx后, 再次生成证书,成功。
2.注意:acme.sh从 Let’s Encrypt获取时有次数、频率的限制
刚开始使用acme.sh时, 频繁生成证书用于测试、实验。 超过了规定的次数后,
会报“`too many certificates already issued for exact set of domains`”。 官方文档给出的是: 同一个注册域名, 每周生成的证书数量不能超过5张,否则会提示“`too many certificates already issued for exact set of domains`”。还有其他的限制, 比如同一个ip地址,3小时内最多可创建10个账户。 要注意一些,以免影响自己的业务。链接:[https://letsencrypt.org/zh-cn/docs/rate-limits/](https://letsencrypt.org/zh-cn/docs/rate-limits/)
3.acme.sh 使用Zerossl作为证书颁发机构。
acme.sh 从v3开始 默认使用Zerossl做成证书颁发机构。如果不加 acme.sh --set-default-ca --server letsencrypt, 切换到letsencrypt。 就需要先注册账号,
acme.sh --register-account -m myemail@example.com --server zerossl
这里对本机系统的openssl版本有要求, 我的是1.0.2k-fips, 会提示“Usage: _hmac hashalg secret [outputhex]”。 所以需要更新openssl最新版 ,这里自行去百度一下,更新完后,再次注册,会成功。
但是在下载证书是,一直提示超时,这个问题还没有解决, 所以暂时先用let‘s encrypt。