<rt id="ma60w"></rt>
<rt id="ma60w"><small id="ma60w"></small></rt>
<acronym id="ma60w"><small id="ma60w"></small></acronym>
<rt id="ma60w"><optgroup id="ma60w"></optgroup></rt>
<rt id="ma60w"><center id="ma60w"></center></rt>
<acronym id="ma60w"></acronym>
<rt id="ma60w"><center id="ma60w"></center></rt>
<acronym id="ma60w"><small id="ma60w"></small></acronym>
自留地
切勿亂來!

Linux下使用acme.sh申請和管理Let’s Encrypt證書

關于Let’s Encrypt 免費SSL證書

Let’s Encrypt 作為一個公共且免費 SSL 的項目逐漸被廣大用戶傳播和使用,是由 Mozilla、Cisco、Akamai、IdenTrust、EFF 等組織人員發起,主要的目的也是為了推進網站從 HTTP 向 HTTPS 過度的進程,目前已經有越來越多的商家加入和贊助支持。

Let’s Encrypt 免費 SSL 證書的出現,也會對傳統提供付費 SSL 證書服務的商家有不小的打擊。到目前為止,Let’s Encrypt 獲得 IdenTrust 交叉簽名,這就是說可以應用且支持包括 FireFox、Chrome 在內的主流瀏覽器的兼容和支持,雖然目前是公測階段,但是也有不少的用戶在自有網站項目中正式使用起來。

Let’s Encrypt 的最大貢獻是它的 ACME 協議,第一份全自動服務器身份驗證協議,以及配套的基礎設施和客戶端。這是為了解決一直以來 HTTPS TLS X.509 PKI 信任模型,即證書權威(Certificate Authority, CA)模型缺陷的一個起步。

在客戶端-服務器數據傳輸中,公私鑰加密使得公鑰可以明文傳輸而依然保密數據,但公鑰本身是否屬于服務器,或公鑰與服務器是否同屬一個身份,是無法簡單驗證的。證書權威模型通過引入事先信任的第三方,由第三方去驗證這一點,并通過在服務器公鑰上簽名的方式來認證服務器。第三方的公鑰則在事先就約定并離線準備好,以備訪問時驗證簽名之用。這個第三方就稱為證書權威,簡稱 CA。相應的,CA 驗證過的公鑰被稱為證書。

問題是,如果服務器私鑰泄露,CA 無法離線使對應的證書無效化,只能另外發布無效記錄供客戶端查詢。也就是說,在私鑰泄露到 CA 發布無效記錄的窗口內,中間人可以肆意監控服-客之間的傳輸。如果中間人設法屏蔽了客戶端對無效記錄的訪問,那么直到證書過期,中間人都可以進行監控。而由于當前 CA 驗證和簽發證書大多手動,證書有效期往往在一年到三年。

Let’s Encrypt 簽發的證書有效期只有90天,甚至希望縮短到60天。有效期越短,泄密后可供監控的窗口就越短。為了支撐這么短的有效期,就必須自動化驗證和簽發。因為自動化了,長遠而言,維護反而比手動申請再安裝要簡單。

證書的有效期,我堅持認為這是合理的。Let’s Encrypt 的證書是自動簽發的,對 Let’s Encrypt 的目標用戶(個人網站、小網站)來說,90天已經是一個很長的時間了。特別是個人網站,域名所有權的變動是非??斓???赡芮皫滋煊蛎€屬于張三,后幾天就屬于李四了。因此自動簽發一個長有效期的證書是很容易產生問題的。如果證書的有效期是兩年,那么經常交易域名的人就可以長時間持有已經不屬于他們的域名的證書。并且這種持有不受證書吊銷列表的控制,因為簽發的時候,所有權是沒有問題的,即使后來所有權變更了,Let’s Encrypt 也不會知道。所以設的有效期短一點,可以減少這個問題的影響。然后是易用性,現在已經有不少的 Let’s Encrypt 自動續期腳本了,配好后就不用管了,非常方便。

總之,強烈推薦站長和服務器平臺用 Let’s Encrypt 向訪客提供加密連接。這是域名認證未來的發展方向。

怎么樣,看了上述有關 Let’s Encrypt 的介紹后,是否還鄙視這種“免費”SSL 證書呢?

下面我們就具體的講述一下利用 Let’s Encrypt 的 ACME 協議在服務器上運用 acme.sh 腳本來申請、管理?SSL 證書(這里要強調一下的是 Let’s Encrypt 的 SSL 證書申請是必須要有服務器 root 權限的哦,也就是說必須是 VPS(云主機)才可以的,虛擬主機上是無法申請獲取的,但是可以在 VPS(云主機)上申請后部署到虛擬主機上)。

首先我們要先下載 acme.sh 到我們的主機上來,安裝命令非常的簡單,如下:

 

注:必須在 root 權限下運行上述命令哦,切記!切記!切記!如果域名都在阿里云,推薦使用 DNS 方式來驗證

把 acme.sh 安裝到你的 root 目錄下:~/.acme.sh/并創建 一個 bash 的 alias, 方便你的使用:

 

安裝過程不會污染已有的系統任何功能和文件, 所有的修改都限制在安裝目錄中:

安裝結束后會自動添加一條定時任務(官方解釋:自動為你創建 cronjob, 每天 0:00 點自動檢測所有的證書, 如果快過期了, 需要更新, 則會自動更新證書。),使用crontab -l?查看。

acme.sh 實現了 acme 協議支持的所有驗證協議. 一般有兩種方式驗證: http 和 dns 驗證.

1、http 方式需要在你的網站根目錄下放置一個文件, 來驗證你的域名所有權,完成驗證. 然后就可以生成證書了.

 

只需要指定域名, 并指定域名所在的網站根目錄. acme.sh 會全自動的生成驗證文件, 并放到網站的根目錄, 然后自動完成驗證. 最后會聰明的刪除驗證文件. 整個過程沒有任何副作用.

如果你用的 apache服務器, acme.sh 還可以智能的從 apache的配置中自動完成驗證, 你不需要指定網站根目錄:

 

如果你用的 nginx服務器, 或者反代, acme.sh 還可以智能的從 nginx的配置中自動完成驗證, 你不需要指定網站根目錄:

 

注意, 無論是 apache 還是 nginx 模式, acme.sh在完成驗證之后, 會恢復到之前的狀態, 都不會私自更改你本身的配置. 好處是你不用擔心配置被搞壞, 也有一個缺點, 你需要自己配置 ssl 的配置, 否則只能成功生成證書, 你的網站還是無法訪問https. 但是為了安全, 你還是自己手動改配置吧.

如果你還沒有運行任何 web 服務, 80 端口是空閑的, 那么 acme.sh 還能假裝自己是一個webserver, 臨時聽在80 端口, 完成驗證:

 

2、dns 方式, 在域名上添加一條 txt 解析記錄, 驗證域名所有權.

這種方式的好處是, 你不需要任何服務器, 不需要任何公網 ip, 只需要 dns 的解析記錄即可完成驗證.

 

然后, acme.sh 會生成相應的解析記錄顯示出來, 你只需要在你的域名管理面板中添加這條 txt 記錄即可.

等待解析完成之后, 重新生成證書:

 

注意第二次這里用的是 –renew

dns 方式的真正強大之處在于可以使用域名解析商提供的 api 自動添加 txt 記錄完成驗證.

acme.sh 目前支持 cloudflare, dnspod, cloudxns, godaddy 以及 ovh 等數十種解析商的自動集成.

以 阿里云 為例, 你需要先登錄到阿里云 賬號, 然后控制臺,右上角你的頭像里,有Access Key 然后:

 

 

多個域名就增加 -d?www.bb.com

經過等待120秒后,證書就會自動生成,提示:

提示這個說明證書就生成成功了

這里給出的Ali_Key 和Ali_Secret 會被自動記錄下來, 將來你在使用 aliyun api 的時候, 就不需要再次指定了. 直接生成就好了:

 

3、 copy/安裝 證書

前面證書生成以后, 接下來需要把證書 copy 到真正需要用它的地方.

注意, 默認生成的證書都放在安裝目錄下: ~/.acme.sh/, 請不要直接使用此目錄下的文件, 例如: 不要直接讓 nginx/apache 的配置文件使用這下面的文件. 這里面的文件都是內部使用, 而且目錄結構可能會變化.

正確的使用方法是使用 –installcert 命令,并指定目標位置, 然后證書文件會被copy到相應的位置, 例如:

 

(一個小提醒, 這里用的是 service nginx force-reload, 不是 service nginx reload, 據測試, reload 并不會重新加載證書, 所以用的 force-reload)

–installcert命令可以攜帶很多參數, 來指定目標文件. 并且可以指定 reloadcmd, 當證書更新以后, reloadcmd會被自動調用,讓服務器生效.

值得注意的是, 這里指定的所有參數都會被自動記錄下來, 并在將來證書自動更新以后, 被再次自動調用.

4、更新證書

目前證書在 60 天以后會自動更新, 你無需任何操作. 今后有可能會縮短這個時間, 不過都是自動的, 你不用關心.

5、更新 acme.sh

目前由于 acme 協議和 letsencrypt CA 都在頻繁的更新, 因此 acme.sh 也經常更新以保持同步.

升級 acme.sh 到最新版 :

 

如果你不想手動升級, 可以開啟自動升級:

 

之后, acme.sh 就會自動保持更新了.

你也可以隨時關閉自動更新:

 

好了,到此acme.sh的使用基本就是這些了,至于是采用HTTP還是DNS方式來申請證書?就經驗來看,我比較喜歡DNS的驗證方式,因為這種方式的依賴性最小,更加的靈活,我建議大家都用DNS來驗證申請Let’s Encrypt證書。

當然,acme.sh還有不少實用的參數可以方便我們來管理已經通過acme.sh申請過證書、域名等等,比如:

 

這個就是列出當前已經申請到證書的域名信息,如下圖:

具體的參數,大家可以使用?acme.sh --help?來查看。

6、NGINX安裝證書

在站點配置文件里加入以上代碼即可,證書路徑是第三步 copy 寫的路徑,記得別搞錯

其實 acme.sh 的使用還是非?!吧倒稀钡?,只要照著指令參數做就可以輕松搞定的,上述的示例其實將域名修改為自己的域名就可以用了,其它的也是同樣的道理,簡單修改一下參數就可以拿來用的。目前,申請獲取 Let’s Encrypt 證書有很多種方法,軍哥的 LNMP 一鍵包里也可以直接申請的,網上也有不少申請 Let’s Encrypt 證書的教程,使用的工具可以說是五花八門。但是,就經驗來看 acme.sh 這個是最方便、最快捷、最省事兒的,因為使用的就是 Let’s Encrypt 的 ACME 協議,所以兼容性絕對是最可靠的,Shell 腳本式的對系統幾乎沒有任何依懶性,有很強的自由度。

好了,申請獲取 Let’s Encrypt 證書的教程就講到這里了,后期如果積累新的經驗我會第一時間分析給大家的,大家有什么疑問也可以在下面的評論里提出來。

贊(1) 打賞

微信掃碼閱讀
分享到: 更多 (0)

評論 搶沙發

評論前必須登錄!

 

關注互聯網發展前沿,關注PHPCMS技術演進,鉆研PHPCMS技術開發

模塊開發聯系我們

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

微信掃一掃打賞

义乌| 鄂尔多斯| 潍坊| 衡水| 黄南| 荆门| 衡阳| 宜昌| 锦州| 汕尾| 辽阳| 简阳| 伊犁| 日喀则| 湘西| 扬州| 眉山| 定安| 四川成都| 呼伦贝尔| 阿拉善盟| 巢湖| 东方| 石嘴山| 嘉峪关| 公主岭| 营口| 绵阳| 湖州| 来宾| 蓬莱| 宜都| 曲靖| 呼伦贝尔| 宁国| 哈密| 上饶| 德阳| 江门| 绥化| 凉山| 包头| 章丘| 招远| 姜堰| 莒县| 玉林| 淄博| 公主岭| 大理| 安阳| 盘锦| 招远| 固原| 广元| 巴中| 淮安| 武夷山| 玉林| 延边| 榆林| 阳泉| 湖南长沙| 眉山| 宜都| 寿光| 吴忠| 吴忠| 三亚| 延边| 天门| 宝鸡| 阿勒泰| 玉溪| 喀什| 昆山| 贵州贵阳| 云南昆明| 枣阳| 瑞安| 宜春| 哈密| 南平| 广州| 和田| 仁寿| 临汾| 肥城| 南京| 靖江| 南充| 永康| 晋中| 庄河| 厦门| 青州| 保定| 黄山| 泰兴| 仁怀| 鄂尔多斯| 高密| 商丘| 鹤壁| 湖北武汉| 台山| 和田| 嘉兴| 台中| 湘西| 朔州| 锦州| 萍乡| 大兴安岭| 项城| 庄河| 塔城| 黄石| 莱州| 项城| 阿拉尔| 泸州| 揭阳| 清徐| 泗阳| 长治| 商洛| 五家渠| 赣州| 吴忠| 深圳| 海东| 乳山| 寿光| 昌都| 东方| 泸州| 长治| 承德| 德宏| 葫芦岛| 阿里| 柳州| 泰州| 湛江| 晋中| 九江| 渭南| 长治| 肇庆| 牡丹江| 烟台| 抚顺| 甘南| 澳门澳门| 通辽| 雄安新区| 海东| 崇左| 青海西宁| 诸暨| 石河子| 巢湖| 张家界| 长葛| 辽宁沈阳| 云浮| 石河子| 舟山| 丽江| 桓台| 溧阳| 天水| 吉林长春| 巴音郭楞| 济宁| 沧州| 曲靖| 宜都| 嘉峪关| 海西| 贵港| 柳州| 朔州| 济南| 云浮| 海安| 三河| 宜都| 鄢陵| 信阳| 咸宁| 信阳| 连云港| 和田| 乐平| 滕州| 安庆| 晋江| 无锡| 慈溪| 西藏拉萨| 黑河| 柳州| 阳泉| 岳阳| 泸州| 厦门| 临猗| 赤峰| 靖江| 偃师| 新余| 南阳| 赣州| 涿州| 临海| 常州| 鹤壁| 淮北| 黔南| 灵宝| 沭阳| 如皋| 蚌埠| 普洱| 威海| 孝感| 洛阳| 云浮| 枣庄| 雅安| 宁国| 万宁| 威海| 灌南| 溧阳| 安康| 株洲| 盘锦| 建湖| 六盘水| 长兴| 阿克苏| 巴中| 聊城| 宜昌| 肇庆| 鄂尔多斯| 果洛| 湘潭| 义乌| 肇庆| 滨州| 德阳| 溧阳| 甘肃兰州| 莱州| 临猗| 吉安| 赤峰| 漳州| 汝州| 吉林长春| 象山| 垦利| 崇左| 招远| 滁州| 清远| 武安| 深圳| 阿拉尔| 台湾台湾| 阿克苏| 长垣| 莒县| 芜湖| 桐乡| 基隆| 崇左| 吐鲁番| 佛山| 烟台| 辽源| 大连| 基隆| 新沂| 晋江| 和田| 鹰潭| 黄南| 乐清| 洛阳| 陵水| 哈密| 商丘| 神农架| 台南| 七台河|