使用acme.sh注冊(cè)免費(fèi)的ssl證書

更新時(shí)間：2023年03月31日 10:13:49 作者：白楊攻城獅

這篇文章主要介紹了acme.sh注冊(cè)免費(fèi)的ssl證書,本文給大家介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值，需要的朋友可以參考下

先決條件：首先我們需要有一個(gè)域名和一臺(tái)有公網(wǎng)IP的服務(wù)器

安裝acme.sh

curl https://get.acme.sh | sh

啟用別名

source ~/.bashrc

說明：

acme.sh 會(huì)安裝到 ~/.acme.sh 目錄下。安裝成功后執(zhí)行 source ~/.bashrc 以確保腳本所設(shè)置的命令別名生效。

說明：普通用戶和 root 用戶都可以安裝使用. 安裝過程進(jìn)行了以下幾步:

1.把 acme.sh 安裝到你的 home 目錄下: ~/.acme.sh/ ，并創(chuàng)建一個(gè) shell 的 alias, 例如 .bashrc，方便你的使用: alias acme.sh=~/.acme.sh/acme.sh

2.自動(dòng)為你創(chuàng)建 cronjob, 每天 0:00 點(diǎn)自動(dòng)檢測(cè)所有的證書, 如果快過期了, 需要更新, 則會(huì)自動(dòng)更新證書。

查看幫助信息

acme.sh -h

卸載acme.sh

acme.sh --uninstall

切換CA機(jī)構(gòu)

acme.sh --set-default-ca --server letsencrypt

說明：

acme.sh 支持四個(gè)正式環(huán)境 CA，分別是 Let’s Encrypt、Buypass、ZeroSSL 和 SSL.com，默認(rèn)使用 ZeroSSL。

生成證書

acme.sh --issue -d example.com --standalone --keylength ec-256 --force

說明：

1. --standalone 模式下默認(rèn)使用80端口，如果80端口被占用，添加 --httpport 參數(shù)使用80以外的端口

2. --keylength表示密鑰長(zhǎng)度，后面的值可以是 ec-256 、ec-384、2048、3072、4096、8192，帶有 ec 表示生成的是 ECC 證書，沒有則是 RSA 證書。在安全性上 256 位的 ECC 證書等同于 3072 位的 RSA 證書。

3. 生成的證書將放置在~/.acme.sh/example.com/ 目錄下：

example.com.cer	證書文件
example.com.key	私鑰
ca.cer	中間證書
fullchain.cer	證書鏈

4. 當(dāng)前證書剩余有效期在30天以上時(shí)重新生成證書，需要使用--force參數(shù)

5. 建議在生成證書的時(shí)候添加 --staging 使用測(cè)試環(huán)境測(cè)試，不明白可參見后面的速率限制

更新證書

acme.sh --renew -d example.com

如果是ecc證書：

acme.sh --renew -d example.com --ecc

說明：

默認(rèn)情況下acme.sh會(huì)自動(dòng)更新即將過期的證書.可以不用手動(dòng)更新

如果要更新有效期大于30天的，使用--force參數(shù)

部署證書

acme.sh --install-cert -d example.com

--key-file           /path/to/keyfile/in/nginx/key.pem

--fullchain-file        /path/to/fullchain/nginx/cert.pem

--reloadcmd     "service nginx force-reload"

說明：

其實(shí)就是拷貝證書到指定位置，生成的證書的目錄供acme.sh內(nèi)部使用

查看已經(jīng)生成的證書：

acme.sh --list

查看debug：

acme.sh --issue ..... --debug

查看error：

acme.sh --issue ..... --debug 2

生成日志：

acme.sh --issue ..... --log

使用測(cè)試環(huán)境

--staging

說明：

日志文件路徑為：~/.acme.sh/acme.sh.log

速率限制

重復(fù)證書限制

概述：

所有簽發(fā)請(qǐng)求均受每周 5 個(gè)重復(fù)證書的限制。當(dāng)您超出重復(fù)證書限制時(shí)，您應(yīng)該會(huì)從 ACME 客戶端收到如下錯(cuò)誤消息：

too many certificates (5) already issued for this exact set of domains in the
last 168 hours: example.com login.example.com: see https://letsencrypt.org/docs/duplicate-certificate-limit

此錯(cuò)誤所指的“確切集”是為此證書請(qǐng)求的主機(jī)名集：在此示例中，example.com 和 login.example.com。如果您的證書僅針對(duì) 1 個(gè)名稱（例如 example.com）頒發(fā)，那么您的證書的主機(jī)名“確切集”將是 [example.com]。當(dāng)訂閱者在一周內(nèi)為相同的“確切集”主機(jī)名請(qǐng)求證書超過 5 次時(shí)，就會(huì)超出此速率限制。

解決方法：

撤銷先前發(fā)布的證書將不會(huì)重置重復(fù)證書限制。然而，仍然存在著這種情況。如果您發(fā)現(xiàn)您已經(jīng)超過了上限并且您仍然需要另一個(gè)證書來獲取相同的主機(jī)名，您總是可以要求一個(gè)不同的主機(jī)名“確切集”的證書。例如，如果您超出了 [example.com] 的重復(fù)證書限制，那么為 [example.com, login.example.com] 請(qǐng)求證書將會(huì)成功。同樣，如果您超出了 [example.com, login.example.com]的重復(fù)證書限制，那么為 [example.com] 申請(qǐng)一個(gè)單獨(dú)的證書，為 [login.example.com] 申請(qǐng)另一個(gè)證書將會(huì)成功。

失敗驗(yàn)證限制

概述：

所有頒發(fā)請(qǐng)求都受到每個(gè)帳戶、每個(gè)主機(jī)名、每小時(shí) 5 次失敗的驗(yàn)證失敗限制。 并且無法豁免。當(dāng)您超過失敗驗(yàn)證限制時(shí)，您會(huì)從您的ACME客戶端收到以下錯(cuò)誤消息：

too many failed authorizations recently: see https://letsencrypt.org/docs/failed-validation-limit/

此錯(cuò)誤所指的“授權(quán)”是您的 ACME 客戶端發(fā)送的授權(quán)請(qǐng)求的結(jié)果，用于在我們頒發(fā)或更新證書之前驗(yàn)證對(duì)域名的控制。此錯(cuò)誤表示多個(gè)驗(yàn)證請(qǐng)求已成功發(fā)送，但所有驗(yàn)證嘗試均失敗。