Nginx使用acme.sh免费安装ssl证书
2022-7-25
·
hexer

后面改用cerbot了,因为到期后再续签有问题搞不定

[root@Cai certbot]# certbot --nginx
Saving debug log to /var/log/letsencrypt/letsencrypt.log

Which names would you like to activate HTTPS for?
We recommend selecting either all domains, or all domains in a VirtualHost/server block.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: sehnsucht.top
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1
Renewing an existing certificate for sehnsucht.top

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/sehnsucht.top/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/sehnsucht.top/privkey.pem
This certificate expires on 2023-01-30.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

Deploying certificate
Successfully deployed certificate for sehnsucht.top to /etc/nginx/nginx.conf
Your existing certificate has been successfully renewed, and the new certificate has been installed.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:
 * Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
 * Donating to EFF:                    https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
[root@Cai certbot]# certbot renew --dry-run
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/sehnsucht.top.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Account registered.
Simulating renewal of an existing certificate for sehnsucht.top

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all simulated renewals succeeded: 
  /etc/letsencrypt/live/sehnsucht.top/fullchain.pem (success)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

以下为正文


acme.sh 实现了 acme 协议, 可以从 letsencrypt 生成免费的证书.

自动化证书管理环境(ACME)是用于自动验证X.509证书的域验证,安装和管理的标准协议,它是由Let's Encrypt开发的,Let's Encrypt是一个免费的证书颁发机构

名词说明

CA(Certificate Authority) 数字证书认证机构,也称为电子商务认证中心、电子商务认证授权机构;是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。

.key 文件 私钥

.csr 文件(certificate signing request) 证书签名请求文件;含有公钥信息及相关资讯的档案。

.crt 文件(certificate) 用.csr 生成的证书文件(包含了由私钥文件生成的公钥)。

x.509 是密码学里公钥证书的格式标准。X.509证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)

RA(Registration Authority) 数字证书注册审批机构,给申请数字证书者发放证书,发放前对申请者进行审合登记,它是CA的延伸机构。

PKI(Public Key Infrastructure) 公钥基础设施,由密钥管理(发放,吊销),密钥合法性验证,认证机构,密钥发放等组成。为数据完整性,隐私性,数据身份认证等提供基础服务。

步骤

主要步骤:

  1. 安装 acme.sh
  2. 生成证书
  3. copy 证书到 nginx
  4. 更新证书

下面详细介绍.

1. 安装 acme.sh

安装很简单, 一个命令:

curl  https://get.acme.sh | sh -s email=你的邮箱@example.com

普通用户和 root 用户都可以安装使用. 安装过程进行了以下几步:

  1. 把 acme.sh 安装到你的 home 目录下:
~/.acme.sh/

并创建 一个 bash 的 alias, 方便你的使用: alias acme.sh=~/.acme.sh/acme.sh

  1. 自动为你创建 cronjob, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书.

更高级的安装选项请参考: https://github.com/Neilpang/acme.sh/wiki/How-to-install

安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中: ~/.acme.sh/

2. 生成证书

[[acme.sh中文文档#2 生成证书]]

acme.sh 实现了 acme 协议支持的所有验证协议. 一般有两种方式验证: http 和 dns 验证.

http 方式需要在你的网站根目录下放置一个文件, 来验证你的域名所有权,完成验证. 然后就可以生成证书了.

只需要指定域名, 并指定域名所在的网站根目录. acme.sh 会全自动的生成验证文件, 并放到网站的根目录, 然后自动完成验证. 最后会聪明的删除验证文件. 整个过程没有任何副作用.

用的 nginx服务器, 或者反代, acme.sh 还可以智能的从 nginx的配置中自动完成验证, 你不需要指定网站根目录:

acme.sh --issue -d {你的域名} --nginx {你的nginx配置文件地址}

注意, 无论是 apache 还是 nginx 模式, acme.sh在完成验证之后, 会恢复到之前的状态, 都不会私自更改你本身的配置. 好处是你不用担心配置被搞坏, 也有一个缺点, 你需要自己配置 ssl 的配置, 否则只能成功生成证书, 你的网站还是无法访问https. 但是为了安全, 你还是自己手动改配置吧.

我个人输入的是

acme.sh --issue -d sehnsucht.top --nginx /www/server/nginx/conf/nginx.conf

宝塔的Nginx配置文件是/www/server/nginx/conf/nginx.conf

更高级的用法请参考: https://github.com/Neilpang/acme.sh/wiki/How-to-issue-a-cert

3. copy/安装 证书

[[acme.sh中文文档#3 copy 安装 证书]]

前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方.

注意, 默认生成的证书都放在安装目录下: ~/.acme.sh/, 请不要直接使用此目录下的文件, 例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件. 这里面的文件都是内部使用, 而且目录结构可能会变化.

正确的使用方法是使用 --install-cert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:

Nginx example:

acme.sh --install-cert -d example.com \
--key-file       /path/to/keyfile/in/nginx/key.pem  \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd     "service nginx force-reload"

一个小提醒, 这里用的是 service nginx force-reload, 不是 service nginx reload, 据测试, reload 并不会重新加载证书, 所以用的 force-reload

两个路径其实是自定义的存放文件的路径,所以我选择放在了/www/ssl下面

force-reload我换成了restart,这样确定可以重新加载证书

acme.sh --install-cert -d example.com \
--key-file       /www/ssl/key.pem  \
--fullchain-file /www/ssl/cert.pem \
--reloadcmd     "service nginx restart"
# 实际上我的配置是下面的
./acme.sh --install-cert -d sehnsucht.top \
--key-file /www/ssl/sehnsucht.top.key.pem \
--fullchain-file /www/ssl/sehnsucht.top.cert.pem \
--reloadcmd     "service nginx restart"

Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer ,而非 /etc/nginx/ssl/<domain>.cer ,否则 SSL Labs 的测试会报 Chain issues Incomplete 错误。

--install-cert命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效.

详细参数请参考: https://github.com/Neilpang/acme.sh#3-install-the-issued-cert-to-apachenginx-etc

值得注意的是, 这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用.

4. 查看已安装证书信息

acme.sh --info -d {你的域名}
# 会输出如下内容:
DOMAIN_CONF=/root/.acme.sh/example.com/example.com.conf
Le_Domain=example.com
Le_Alt=no
Le_Webroot=dns_ali
Le_PreHook=
Le_PostHook=
Le_RenewHook=
Le_API=https://acme-v02.api.letsencrypt.org/directory
Le_Keylength=
Le_OrderFinalize=https://acme-v02.api.letsencrypt.org/acme/finalize/23xxxx150/781xxxx4310
Le_LinkOrder=https://acme-v02.api.letsencrypt.org/acme/order/233xxx150/781xxxx4310
Le_LinkCert=https://acme-v02.api.letsencrypt.org/acme/cert/04cbd28xxxxxx349ecaea8d07
Le_CertCreateTime=1649358725
Le_CertCreateTimeStr=Thu Apr  7 19:12:05 UTC 2022
Le_NextRenewTimeStr=Mon Jun  6 19:12:05 UTC 2022
Le_NextRenewTime=1654456325
Le_RealCertPath=
Le_RealCACertPath=
Le_RealKeyPath=/etc/acme/example.com/privkey.pem
Le_ReloadCmd=service nginx force-reload
Le_RealFullChainPath=/etc/acme/example.com/chain.pem

5. Nginx配置

对于Nginx的server模块,给出模板文件

server {  
    # server 当 http 协议被请求时,统一转发到 https 协议上  
    listen 80;  
    listen [::]:80; # IPV6 协议  
    server_name 你的域名;
    rewrite ^(.*)$ https://$host$1 permanent;  
}  
  
server {  
    listen 443 ssl;  
    listen [::]:443 ssl;  
    ssl_certificate /{cert文件路径}; # 例如:/www/ssl/cert.pem
    ssl_certificate_key /{key文件路径}; # 例如:/www/ssl/key.pem
  
    server_name 你的域名;
  
    location / {
	    # proxy_pass http://127.0.0.1:8888;
        root /www/xxx;  
        index index.html;
    }  
  
    location /.well-known/acme-challenge/ {  
        root {证书文件路径};  
        log_not_found off;  
    }  
}
server {
    # server 当 http 协议被请求时,统一转发到 https 协议上
    listen 80;
    listen [::]:80; # IPV6 协议
    server_name sehnsucht.top;
    rewrite ^(.*)$ https://$host$1 permanent;
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    ssl_certificate /www/ssl/sehnsucht.top.cert.pem;
    ssl_certificate_key /www/ssl/sehnsucht.top.key.pem;

    server_name sehnsucht.top;

    location /
    {
        proxy_pass http://127.0.0.1:1828;
        # root /www/xxx;
        # index index.html;
    }

    location /.well-known/acme-challenge/ {
        root /www/ssl/;
        log_not_found off;
    }
}

配置完成后访问网站就可以使用https了

6. 更新证书

[[acme.sh中文文档#5 更新证书]]

目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.

7.遇到的问题

域名:timeout

[[Linux如何改host]] 更改host后即可生效

acme没有自动更新

我手动更新了,输入了acme.sh --issue -d sehnsucht.top --nginx /www/server/nginx/conf/nginx.conf

失效原因参考: https://github.com/acmesh-official/acme.sh/issues/3855 https://github.com/acmesh-official/acme.sh/issues/3850 https://github.com/acmesh-official/acme.sh/issues/3842 报错信息:

[root@Cai .acme.sh]# acme.sh --issue -d sehnsucht.top --nginx /www/server/nginx/conf/nginx.conf --server letsencrypt --dns dns_cf
[Mon Oct 31 23:54:30 CST 2022] Using CA: https://acme-v02.api.letsencrypt.org/directory
[Mon Oct 31 23:54:30 CST 2022] Registering account: https://acme-v02.api.letsencrypt.org/directory
[Mon Oct 31 23:54:33 CST 2022] Register account Error: {
  "type": "urn:ietf:params:acme:error:invalidEmail",
  "detail": "Error creating new account :: invalid contact domain. Contact emails @example.com are forbidden",
  "status": 400
}
[Mon Oct 31 23:54:33 CST 2022] Please check log file for more details: /root/.acme.sh/acme.sh.log
[root@Cai .acme.sh]# 

账户邮箱的问题

[root@Cai .acme.sh]# acme.sh  --register-account  -m tech@sehnsucht.top --server zerossl
[Tue Nov  1 09:17:01 CST 2022] Registering account: https://acme.zerossl.com/v2/DV90
[Tue Nov  1 09:17:08 CST 2022] Already registered
[Tue Nov  1 09:17:08 CST 2022] ACCOUNT_THUMBPRINT='zXioZVdUEiREUBKV-tmy1_tNno7OaIYiYA1gqeWJNlo'

参考

官方文档 官方文档中文版 深入浅出解读http和https及ACME协议工作原理(另附域名证书申请教程)