通过acme生成免费通配符SSL证书

[TOC]
# 1. 安装acme.sh
```
curl https://get.acme.sh | sh

```

此次安装，会自动在crontab创建定时任务。
```
[root@********* ~]# crontab -l
15 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
```
# 2. 配置阿里云RAM，自动DNS验证
新建一个`RAM账号`并生成`AccessKeyID`和`AccessKeySecret`。
给用户添加权限：`管理云解析(DNS)的权限`

# 3. ACME配置
导入API信息到acme.sh，运行命令
```
export Ali_Key="1234"
export Ali_Secret="sADDsdasdgdsf"
```
后续配置会生成到`~/.acme.sh/account.conf`下

# 4. 申请证书
```
acme.sh --issue --dns dns_ali -d *.example.com
```
# 5. 安装证书
```
acme.sh --install-cert -d *.example.com --key-file /usr/local/nginx/conf/ssl/example.com.key --fullchain-file /usr/local/nginx/conf/ssl/fullchain.cer --reloadcmd "service nginx force-reload";
```
# 5. 应用到nginx
配置nginx
```
server {
    listen 80;
    listen 443 ssl default_server;
    server_name www.example.com;
    access_log /data/wwwlogs/access_nginx.log combined;
    root /data/wwwroot/default;
    index index.html index.htm index.php;

ssl_certificate /usr/local/nginx/conf/ssl/fullchain.cer;
    ssl_certificate_key /usr/local/nginx/conf/ssl/example.com.key;

#ssl性能调优
    #nginx 1.13.0支持了TLSv1.3,TLSv1.3相比之前的TLSv1.2、TLSv1.1等性能大幅提升
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    ssl_prefer_server_ciphers on;
    ssl_session_timeout 10m;
    #使用ssl_session_cache优化https下Nginx的性能
    ssl_session_cache builtin:1000 shared:SSL:10m;
    #OCSP Stapling 开启。OCSP是用于在线查询证书吊销情况的服务，使用OCSP Stapling能将证书有效状态的信息缓存到服务器，提高 TLS 握手速度
    ssl_stapling on;
    #OCSP Stapling 验证开启
    ssl_stapling_verify on;

#error_page 404 /404.html;
    #error_page 502 /502.html;
    location /nginx_status {
      stub_status on;
      access_log off;
      allow 127.0.0.1;
      deny all;
    }
```
然后，重启nginx 服务器，就OK了

# 6. 参考
https://github.com/acmesh-official/acme.sh/wiki/%E8%AF%B4%E6%98%8E

导航

最近发表

友情链接