簡介

Let's Encrypt —— 是一個(gè)由非營利性組織 互聯(lián)網(wǎng)安全研究小組（ISRG）提供的免費(fèi)、自動(dòng)化和開放的證書頒發(fā)機(jī)構(gòu)（CA），簡單的說，就是為網(wǎng)站提供免費(fèi)的 SSL/TLS 證書。

簽發(fā)工具

Let's Encrypt 生成證書的工具很多，certbot 是官方推薦的簽發(fā)工具，也可以通過在線服務(wù)申請，例如：

• FreeSSL（不支持自動(dòng)續(xù)簽）
• 七牛（不支持 DV 泛域名）
• 又拍云（不支持 DV 泛域名）

在線一站式服務(wù)管理方便，但可能需要綁定業(yè)務(wù)，個(gè)人用戶還是推薦通過工具生成證書。
這里推薦 acme.sh，它不僅有詳細(xì)的中文文檔，操作更為方便，還支持 Docker。

acme.sh

以 root 用戶為例

在線安裝

curl https://get.acme.sh | sh

安裝過程：

1. home 目錄下生成 .acme.sh 文件夾，查看文件夾內(nèi)容：ls ~/.acme.sh/；

2. 自動(dòng)添加 bash alias：

   # ~/.bashrc 添加：
   . "/root/.acme.sh/acme.sh.env"
   
   # acme.sh.env 內(nèi)容：
   # alias acme.sh="/root/.acme.sh/acme.sh"
   

3. 自動(dòng)添加定時(shí)任務(wù)（時(shí)間隨機(jī)）：

   # 每天凌晨檢查證書的有效期，如有需要，自動(dòng)續(xù)簽。
   30 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
   

相關(guān)命令

# 查看幫助
acme.sh -h

# 查看列表
acme.sh --list

# 卸載 acme.sh
# 編輯 ~/.bashrc，刪除 acme.sh alias
acme.sh --uninstall

腳本更新

自動(dòng)更新：acme.sh --upgrade --auto-upgrade
手動(dòng)更新：acme.sh --upgrade
關(guān)閉更新：acme.sh --upgrade --auto-upgrade 0

證書申請

驗(yàn)證域名所有權(quán)驗(yàn)證方式：HTTP 和 DNS

• HTTP：在網(wǎng)站的根目錄下添加一個(gè)文件
• DNS：在域名上添加一條 txt 解析記錄

HTTP

acme.sh 會(huì)自動(dòng)生成驗(yàn)證文件，并放到站點(diǎn)的根目錄，然后自動(dòng)完成驗(yàn)證，最后自動(dòng)刪除文件。

• -d：同 --domain，域名
• -w：同 --webroot，站點(diǎn)根目錄

acme.sh --issue -d mydomain.com -d www.mydomain.com -w /websvr/mydomain.com/

Nginx：自動(dòng)從配置中獲取站點(diǎn)的根目錄

acme.sh --issue -d mydomain.com --nginx

注：根據(jù)中國大陸工信部的規(guī)定，所有托管在中國大陸服務(wù)器上的網(wǎng)站均需要備案。

—— 站點(diǎn)如未備案，80 端口處于禁用狀態(tài)，acme.sh 無法使用 HTTP 驗(yàn)證域名所有權(quán)。

DNS

優(yōu)勢：不需要服務(wù)器與公網(wǎng) ip，只要配置 DNS 解析即可。
不足：必須配置 Automatic DNS API 才可以自動(dòng)續(xù)簽。

# https://github.com/Neilpang/acme.sh/wiki/dns-manual-mode
# 注：DNS 不支持自動(dòng)續(xù)簽

# 步驟：
# 1. 生成相應(yīng)的解析記錄
# 2. 域名解析中添加生成的 txt 記錄
# 3. 等待解析其生效
acme.sh --issue --dns -d mydomain.com --yes-I-know-dns-manual-mode-enough-go-ahead-please

# 查詢域名 txt 記錄
nslookup -type=txt _acme-challenge.mydomain.com

# 解析生效后，重新生成證書(注：確實(shí)是 renew)
acme.sh --renew -d mydomain.com --yes-I-know-dns-manual-mode-enough-go-ahead-please

DNS API（推薦）

根據(jù)域名服務(wù)商，選擇對應(yīng)的 DNS API。

阿里云：控制臺(tái)

創(chuàng)建 Accesskey

# 獲取到 Key 和 Secret 后，設(shè)置環(huán)境變量
export Ali_Key="123"
export Ali_Secret="abc"

# 生產(chǎn)證書
acme.sh --issue --dns dns_ali -d mydomain.com -d www.mydomain.com

DNSPod：控制臺(tái)（注：非騰訊云控制臺(tái)）

創(chuàng)建 API Token

# 獲取到 ID 和 Key 后，設(shè)置環(huán)境變量
export DP_Id="123"
export DP_Key="abc"

# 生產(chǎn)證書
acme.sh --issue --dns dns_dp -d mydomain.com -d www.mydomain.com

通配符證書

Wildcard 證書，目前只支持 DNS-01 驗(yàn)證方式。

# 阿里 DNS API
acme.sh --issue --dns dns_ali -d mydomain.com -d *.mydomain.com

證書配置

生成的證書都在 home 目錄下: ~/.acme.sh/

導(dǎo)出證書

使用 --install-cert 命令

• -d：域名
• –key-file：私鑰位置
• –fullchain-file：證書位置
• –reloadcmd：重載命令

acme.sh --install-cert -d mydomain.com \
        --key-file /websvr/ssl/mydomain.key \
        --fullchain-file /websvr/ssl/fullchain.cer \
        --reloadcmd "docker exec -t nginx nginx -s reload"

Nginx 配置

server {
    listen 80;
    server_name mydomain.com;
    # 重定向到 https
    rewrite ^(.*)$  https://$host$1 permanent;
}

server {
    listen 443;
    server_name mydomain.com;
    root   /websvr/www/mydomain.com;
    index  index.html index.htm;

    access_log /dev/null;
    error_log  /websvr/log/nginx/mydomain.com.error.log warn;

    # SSL 配置
    ssl on;
    ssl_certificate /websvr/ssl/fullchain.cer; # 證書文件
    ssl_certificate_key /websvr/ssl/mydomain.key; # 私鑰文件
    ssl_session_timeout 5m; # 會(huì)話緩存過期時(shí)間
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # 開啟 SSL 支持
    ssl_prefer_server_ciphers on; # 設(shè)置協(xié)商加密算法時(shí)，優(yōu)先使用服務(wù)端的加密套件
}

重啟 Nginx 服務(wù)：

docker exec -t nginx nginx -s reload

SSL 檢測

https://myssl.com

更新證書

定時(shí)任務(wù)會(huì)自動(dòng)更新

強(qiáng)制續(xù)簽證書：acme.sh --renew -d mydomain.com --force