Let’s Encrypt 通配符证书,泛域名https证书申请配置

首先你可以查看下官方提供的支持申请通配符证书的客户端列表:https://letsencrypt.org/docs/client-options/

参考链接:https://github.com/Neilpang/acme.sh/wiki/dnsapi

这些客户端支持最新的ACME v2接口,而这个接口目前已经正式支持申请通配符证书啦。

这里,我使用acme.shhttps://github.com/Neilpang/acme.sh)这个Client,它是直接在bash下运行,使用非常简单,而且支持大多数DNS服务器的API自动验证!

1、安装acme.sh

curl https://get.acme.sh | sh

一句话完成安装,安装过程分为:

1)复制acme.sh的程序文件到当前用户主目录,比如root用户的:~/.acmh.sh目录下

2)创建一个alias:acme.sh=~/.acme.sh/acme.sh

 安装过程中如果报错:

出现了红色的提醒:
It is recommended to install socat first
We use socat for standalone server if you use standalone mode.
If you don't use standalone mode, just ignore this warning.
大概意思就是叫我最好安装 socat

yum install epel-release -y
yum install socat -y
curl https://get.acme.sh | sh

安装成功后使用 acme.sh --version 查看版本

2、装完后,就可以开始申请证书了。

阿里云的DNS

为了能完成自动验证,需要在acme.sh的配置中写入阿里云的密钥信息:

申请地址:https://ak-console.aliyun.com/#/accesskey

申请完毕之后,我们需要复制Access Key ID、Access Key Secret,等会需要用到的

export Ali_Key="对应Access Key ID"
export Ali_Secret="对应Access Key Secret"

先在本地编辑好对应的信息,然后直接贴到SSH回车执行,会创建临时变量。(第三点方法命令执行后更改了 ~/.acme.sh/account.conf 文件的配置)

腾讯云DNS

域名是托管在了腾讯云上面的,那么你域名的解析服务商就是DNSPod。 你可以用腾讯云的账号或者腾讯云绑定的QQ,微信登录dsnpod的后台。DNSPod并入腾讯云,dnspod和腾讯云是一家

登录 dnspod后台。如果域名是在腾讯云上注册的,那么可以用腾讯云的账号密码或者腾讯云绑定的QQ、微信登录。

点击安全设置或账号中心,『创建API Token』。

 

创建成功后,千万记着把ID和Token记录下来,因为窗口一旦关闭信息就无法找回了。

export DP_Id="xxx"
export DP_Key="xxxxxxx"

先在本地编辑好对应的信息,然后直接贴到SSH回车执行,会创建临时变量。(第三点方法命令执行后更改了 ~/.acme.sh/account.conf 文件的配置)

3、最后,重点来了,通配符证书申请命令(以我自己的域名为例):

阿里云使用以下命令:

~/.acme.sh/acme.sh --issue -d test.cn -d *.test.cn --dns dns_ali

腾讯云使用以下命令:

acme.sh --issue --dns dns_dp -d test.cn -d *.test.cn

注意,这里–dns参数使用的是dns_ali,告诉acme.sh使用阿里云的DNS接口去自动验证。(好处:全程无干预,不需要暂停web服务器!)

 

4、查看生成的证书文件,证书默认生成在:~/.acme.sh/test.cn下:

 

5、证书的安装

注意, 默认生成的证书都放在安装目录下: ~/.acme.sh/, 请不要直接使用此目录下的文件,
例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件.
这里面的文件都是内部使用, 而且目录结构可能会变化.

正确的使用方法是使用 --installcert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置,

默认情况下,证书将每60天更新一次(可配置)。更新证书后,将通过以下命令自动重新加载Apache / Nginx服务:service apache2 force-reloadservice nginx force-reload

请注意:reloadcmd非常重要。证书可以自动续订,但是,如果没有正确的“reloadcmd”,证书可能无法刷新到您的服务器(如nginx或apache),那么您的网站将无法在60天内显示续订证书。

阿里云使用以下命令:

# 创建放置证书的文件夹
mkdir -p /usr/local/nginx/ssl_cert/test.cn

# 前面证书生成以后,,需要把证书 copy 到真正需要用它的地方。
acme.sh --install-cert -d test.cn -d *.test.cn \
--key-file /usr/local/nginx/ssl_cert/test.cn/test.cn.key \
--fullchain-file /usr/local/nginx/ssl_cert/test.cn/test.cn.cer \
--reloadcmd      "service nginx force-reload"

 腾讯云使用以下命令:

# 创建放置证书的文件夹
mkdir -p /usr/local/nginx/ssl_cert/test.cn
# 前面证书生成以后,,需要把证书 copy 到真正需要用它的地方。 acme.sh
--install-cert -d test.cn --key-file /usr/local/nginx/ssl_cert/test.cn/test.cn.key --fullchain-file /usr/local/nginx/ssl_cert/test.cn/test.cn.cer --reloadcmd "/usr/local/nginx/sbin/nginx -s reload"

 

 

6.Nginx 配置Http和Https共存

listen 80; #如果硬性要求全部走https协议,这一行去除
listen 443 ssl http2; #如果硬性要求全部走https协议,这里去除ssl
server_name chandao.test.cn;

#ssl on; #如果硬性要求全部走https协议,这里开启ssl on
ssl_certificate /usr/local/nginx/ssl_cert/test.cn/test.cn.cer;
ssl_certificate_key /usr/local/nginx/ssl_cert/test.cn/test.cn.key;

#ssl性能调优
#nginx 1.13.0支持了TLSv1.3,TLSv1.3相比之前的TLSv1.2、TLSv1.1等性能大幅提升
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_timeout 10m;
#使用ssl_session_cache优化https下Nginx的性能
ssl_session_cache builtin:1000 shared:SSL:10m;
#OCSP Stapling 开启。OCSP是用于在线查询证书吊销情况的服务,使用OCSP Stapling能将证书有效状态的信息缓存到服务器,提高 TLS 握手速度
ssl_stapling on;
#OCSP Stapling 验证开启
ssl_stapling_verify on;

 使用nginx -t 查看是否出错,然后重启nginx 

nginx -t
service nginx reload

 

7、查看证书列表

acme.sh --list
8、删除证书【创建https失败,可删除证书重试】

acme.sh remove Main_Domain(证书的主域名,上述证书列表中可看见)

 

注意:

若申请的CDN证书匹配的网站地址属于泛域名,如类似*.abc.com的证书,只能支持通配符当前级别的域名,如a.abc.com、b.abc.com或abc.com的域名,目前还无法支持三级域名(如x.a.abc.com),这个限制是证书颁发机构与浏览器之前的限制。

解决办法:若您需要使用三级域名,那么就需要使用对应的二级域名的泛域名,如*.cdn.abc.com,就可以支持形如1.cdn.abc.com、2.cdn.abc.com。

 

posted @ 2019-04-17 15:41  一个人的孤独自白  阅读(575)  评论(0编辑  收藏