使用acme.sh生成let’s encrypt泛域名证书

概述

acme.sh 实现了 acme 协议，可以从 let’s encrypt 生成免费的证书。

本文介绍如何使用 acme.sh 生成 let’s encrypt 泛域名 tls 证书。

安装 acme.sh

安装很简单，一个命令:

curl  https://get.acme.sh | sh

普通用户和 root 用户都可以安装使用.
安装过程进行了以下几步:

1). 把 acme.sh 安装到你的 home 目录下:

~/.acme.sh/

并创建 一个 bash 的 alias， 方便你的使用: alias acme.sh=~/.acme.sh/acme.sh

2). 自动为你创建 cronjob， 每天 0:00 点自动检测所有的证书， 如果快过期了， 需要更新， 则会自动更新证书。

更高级的安装选项请参考: https://github.com/Neilpang/acme.sh/wiki/How-to-install

安装过程不会污染已有的系统任何功能和文件， 所有的修改都限制在安装目录中: ~/.acme.sh/

生成证书

acme.sh 实现了 acme 协议支持的所有验证协议。

一般有两种方式验证: http 和 dns 验证。dns 验证又分手动和自动。

我建议使用 dns 自动验证的方式，方便快捷。

使用方法参考官方文档

支持主流的 dns 服务商，去 dns 服务商申请一个 apikey 即可使用。

我使用的是 dnspod，export apikey 之后，一键生成泛域名证书的命令为

acme.sh --issue --dns dns_dp -d 'liushiming.cn' -d '*.liushiming.cn'

后续手动强制更新加上 --force选项

acme.sh --issue --force --dns dns_dp -d 'liushiming.cn' -d '*.liushiming.cn'

域名注意要加单引号 ，否则因为有*通配符，可能会报错（我使用的是 zsh，报的错为zsh: no matches found: *.liushiming.com）

查看证书

证书生成后在.acme.sh/your_domain.com/目录中

安装证书

不要直接使用.acme.sh中的目录作为 nginx 的证书目录，因为这个目录只是acme内部使用的，而且在更新证书时，需要 reload nginx，也要指定 reload 命令

安装证书命令（将liushiming.cn替换成你的域名）

$ acme.sh --installcert -d liushiming.cn \
--key-file       /etc/nginx/ssl/liushiming.cn.key  \
--fullchain-file /etc/nginx/ssl/fullchain.cer \
--reloadcmd     "systemctl force-reload nginx"

这命令的作用有两个

• 将证书文件 copy 到你指定的 nginx 目录中
• 设置证书文件更新时 nginx reload 命令

执行完命令后查看证书是否被放在指定目录

$ ls /etc/nginx/ssl/

nginx 配置

在 nginx 中配置 tls 证书
nginx/conf.d/wordpress.conf

server {
    listen 80;
    listen [::]:80;
    server_name liushiming.cn www.liushiming.cni 47.107.59.241;
    return 301 https://$server_name$request_uri;
    root /var/www/html/wordpress;
}

server {
    listen 443 ssl;
    server_name liushiming.cn www.liushiming.cn;

    ssl on;
    ssl_certificate      /etc/nginx/ssl/fullchain.cer;
    ssl_certificate_key  /etc/nginx/ssl/liushiming.cn.key;

    root /var/www/html/wordpress;
    index index.php index.html index.htm;

    location / {
        try_files $uri $uri/ /index.php?$args;
    }

    location ~ \.php$ {
        include fastcgi-php.conf;
        # fastcgi_pass 127.0.0.1:9000;
        fastcgi_pass unix:/var/run/php-fpm.sock;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }
}

ssl_certificate 使用 fullchain.cer ，而非 .cer ，否则 SSL Labs 的测试会报 Chain issues Incomplete 错误。

证书自动更新

证书有效期为 90 天

每天 0:00 点自动检测所有的证书，如果快过期了，需要更新， 则会自动更新证书。

注意：自动更新证书只是更新了服务上的证书和密钥，如果使用了 cdn，还要手动更新 cdn 的证书，参见下面两节。

cdn 证书配置 – 七牛云

如果网站使用了 cdn，在 cdn 的提供商也需要配置 https，否则就不是全站 https 了，chrome 还是会提示不安全。

我的图片是保存在七牛云的，其他静态文件用阿里云 cdn 加速，所以七牛云/阿里云也需要配置 https 证书。

以七牛云为例 cdn 的 https 配置：

七牛云要求的证书格式是.pem格式的，而 acme 生成的证书是.cer后缀的，需要转换一下

cd ~/.acme.sh/your_domain.com
openssl x509 -in fullchain.cer -out qiniu_fullchain.pem -outform PEM
cat qiniu_fullchain.pem

将打印出来的证书复制贴到七牛云证书内容这栏

证书私钥是无需转换的，直接cat your_domain.com.key获得

证书上传后, 在 ssl 证书管理中就会出现新的证书了

点击部署 cdn

cdn 证书配置 – 阿里云

以阿里云为例，新增或者证书续期时，都需要手动去阿里云更新证书，参见下图，先上传，再点部署：

验证 https

用 chrome 访问网站看到 https 的小锁就说明配置成功

update at 20210818:

这次证书过期了，更新时提示提示使用ZeroSSL，需要先注册

执行一下 acme.sh --register-account -m my@example.com命令就好

$acme.sh --issue --force --dns dns_dp -d 'liushiming.cn' -d '*.liushiming.cn'
[Wed Aug 18 10:36:25 CST 2021] Using CA: https://acme.zerossl.com/v2/DV90
[Wed Aug 18 10:36:25 CST 2021] Create account key ok.
[Wed Aug 18 10:36:25 CST 2021] No EAB credentials found for ZeroSSL, let's get one
[Wed Aug 18 10:36:25 CST 2021] acme.sh is using ZeroSSL as default CA now.
[Wed Aug 18 10:36:25 CST 2021] Please update your account with an email address first.
[Wed Aug 18 10:36:25 CST 2021] acme.sh --register-account -m my@example.com
[Wed Aug 18 10:36:25 CST 2021] See: https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA
[Wed Aug 18 10:36:25 CST 2021] Please add '--debug' or '--log' to check more details.
[Wed Aug 18 10:36:25 CST 2021] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh
$acme.sh --register-account -m foo@bar.com
[Wed Aug 18 10:37:15 CST 2021] No EAB credentials found for ZeroSSL, let's get one
[Wed Aug 18 10:37:17 CST 2021] Registering account: https://acme.zerossl.com/v2/DV90
[Wed Aug 18 10:37:20 CST 2021] Registered
[Wed Aug 18 10:37:20 CST 2021] ACCOUNT_THUMBPRINT='S_eMm8mjELB07hGW8aENNHLJ548W_NOmW_1zA9SEM0o'
$acme.sh --issue --force --dns dns_dp -d 'liushiming.cn' -d '*.liushiming.cn'
[Wed Aug 18 10:37:27 CST 2021] Using CA: https://acme.zerossl.com/v2/DV90
[Wed Aug 18 10:37:27 CST 2021] Multi domain='DNS:liushiming.cn,DNS:*.liushiming.cn'
[Wed Aug 18 10:37:27 CST 2021] Getting domain auth token for each domain
[Wed Aug 18 10:37:32 CST 2021] Getting webroot for domain='liushiming.cn'
[Wed Aug 18 10:37:32 CST 2021] Getting webroot for domain='*.liushiming.cn'
[Wed Aug 18 10:37:33 CST 2021] Adding txt value: -bBFPHK6mZUBb2cfUGs9QnwOigFreurFopf-DuLqjeQ for domain:  _acme-challenge.liushiming.cn
[Wed Aug 18 10:37:34 CST 2021] Adding record
[Wed Aug 18 10:37:35 CST 2021] The txt record is added: Success.
[Wed Aug 18 10:37:35 CST 2021] Adding txt value: VXapddNZPsF0KDS3Ovcv0g4AurJSR2bLIkkHnZxpAQU for domain:  _acme-challenge.liushiming.cn
[Wed Aug 18 10:37:35 CST 2021] Adding record
[Wed Aug 18 10:37:35 CST 2021] The txt record is added: Success.
[Wed Aug 18 10:37:35 CST 2021] Let's check each DNS record now. Sleep 20 seconds first.
[Wed Aug 18 10:37:56 CST 2021] You can use '--dnssleep' to disable public dns checks.
[Wed Aug 18 10:37:56 CST 2021] See: https://github.com/acmesh-official/acme.sh/wiki/dnscheck
[Wed Aug 18 10:37:57 CST 2021] Checking liushiming.cn for _acme-challenge.liushiming.cn
[Wed Aug 18 10:38:45 CST 2021] Domain liushiming.cn '_acme-challenge.liushiming.cn' success.
[Wed Aug 18 10:38:45 CST 2021] Checking liushiming.cn for _acme-challenge.liushiming.cn
[Wed Aug 18 10:39:34 CST 2021] Domain liushiming.cn '_acme-challenge.liushiming.cn' success.
[Wed Aug 18 10:39:34 CST 2021] All success, let's return
[Wed Aug 18 10:39:34 CST 2021] Verifying: liushiming.cn
[Wed Aug 18 10:39:37 CST 2021] Processing, The CA is processing your order, please just wait. (1/30)
[Wed Aug 18 10:39:40 CST 2021] Success

参考资料

acme wiki
dnsapi 使用说明
Issue Wildcard certificate with zsh failed