快捷導(dǎo)航

詳解如何使用go-acme/lego實(shí)現(xiàn)自動(dòng)簽發(fā)證書

更新時(shí)間：2024年03月10日 10:36:15 作者：AlpsMonaco

這篇文章主要為大家詳細(xì)介紹了如何使用?go-acme/lego?的客戶端或庫完成證書的自動(dòng)簽發(fā),文中的示例代碼講解詳細(xì),感興趣的小伙伴可以跟隨小編一起學(xué)習(xí)一下

使用 lego 客戶端

安裝

如果有g(shù)olang開發(fā)環(huán)境可以使用以下命令安裝lego

go install github.com/go-acme/lego/v4/cmd/lego@latest

如果沒有g(shù)olang開發(fā)環(huán)境可前往 github.com/go-acme/lego/releases 下載最新cli客戶端

簽發(fā)證書

簽發(fā)證書需要驗(yàn)證域名的所有權(quán)，acme協(xié)議提供了兩種方法來驗(yàn)證你的域名所有權(quán)，分別是http服務(wù)器驗(yàn)證和dns驗(yàn)證。

http服務(wù)器驗(yàn)證

使用該方法驗(yàn)證需要有一臺(tái)服務(wù)器，該服務(wù)器要有公網(wǎng)ip。同時(shí)還需要擁有服務(wù)器的root權(quán)限，才能監(jiān)聽80和443端口。

假設(shè)需要部署證書的域名為 example.com ，我們需要先配置 example.com 指向該服務(wù)器的公網(wǎng)ip，然后在服務(wù)器上執(zhí)行

lego --email="you@example.com" --domains="example.com" --http run

該命令啟動(dòng)一個(gè)http服務(wù)器，監(jiān)聽80/443端口。

隨后Let's Encrypt會(huì)根據(jù)域名（example.com）訪問服務(wù)器的80/443端口，驗(yàn)證域名的所有權(quán)。這個(gè)過程是自動(dòng)化的，只需要等待即可。

驗(yàn)證通過后會(huì)下發(fā)證書到 ./.lego/certificates 里，證書的有效期為3個(gè)月。

dns驗(yàn)證

lego強(qiáng)大的地方便是集成了幾乎所有常用的云廠商，如CloudFlare、阿里云和騰訊云等的服務(wù)API。只需要設(shè)置API_KEY和API_SECRET便可以自動(dòng)幫你完成DNS驗(yàn)證。

這邊以騰訊云為例：

執(zhí)行以下命令:

TENCENTCLOUD_SECRET_ID=abcdefghijklmnopqrstuvwx \ 
TENCENTCLOUD_SECRET_KEY=your-secret-key \ 
lego --email you@example.com --dns tencentcloud --domains my.example.org run

該命令會(huì)調(diào)用騰訊云的后臺(tái)API，為example.com填寫DNS驗(yàn)證信息；Let's Encrypt驗(yàn)證通過之后，下發(fā)證書到./.lego/certificates，同時(shí)也會(huì)自動(dòng)幫你刪除該DNS驗(yàn)證信息。

使用lego庫

我們也可以使用lego庫來生成證書，或者做一些自動(dòng)化證書生成然后部署的二次開發(fā)。lego庫同樣也支持http服務(wù)器驗(yàn)證和dns驗(yàn)證，下面給出完整可用代碼。

50-62行為騰訊云dns驗(yàn)證部分，64-73為http服務(wù)器驗(yàn)證部分，二選一即可。

package main

import (
	"crypto"
	"crypto/ecdsa"
	"crypto/elliptic"
	"crypto/rand"
	"fmt"
	"github.com/go-acme/lego/v4/certcrypto"
	"github.com/go-acme/lego/v4/certificate"
	"github.com/go-acme/lego/v4/lego"
	"github.com/go-acme/lego/v4/providers/dns/tencentcloud"
	"github.com/go-acme/lego/v4/registration"
	"log"
	"os"
)

type MyUser struct {
	Email        string
	Registration *registration.Resource
	key          crypto.PrivateKey
}

func (u *MyUser) GetEmail() string {
	return u.Email
}
func (u MyUser) GetRegistration() *registration.Resource {
	return u.Registration
}
func (u *MyUser) GetPrivateKey() crypto.PrivateKey {
	return u.key
}

func main() {
	privateKey, err := ecdsa.GenerateKey(elliptic.P256(), rand.Reader)
	if err != nil {
		log.Fatal(err)
	}
	myUser := MyUser{
		Email: "you@example.com",
		key:   privateKey,
	}
	config := lego.NewConfig(&myUser)
	config.Certificate.KeyType = certcrypto.RSA2048
	client, err := lego.NewClient(config)
	if err != nil {
		log.Fatal(err)
	}
        
   // 使用dns驗(yàn)證的方式，這邊以騰訊云為例子。
	cfg := tencentcloud.NewDefaultConfig()
	cfg.SecretID = "abcdefghijklmnopqrstuvwx"
	cfg.SecretKey = "your-secret-key"
	p, err := tencentcloud.NewDNSProviderConfig(cfg)
	if err != nil {
		log.Fatal(err)
	}
	err = client.Challenge.SetDNS01Provider(p)
	if err != nil {
		log.Fatal(err)
	}
   // ---------使用dns-騰訊云驗(yàn)證的方式結(jié)束-----------
   
   // 使用http服務(wù)器驗(yàn)證的方式，注釋上面dns驗(yàn)證的代碼部分，取消下面http驗(yàn)證的代碼注釋部分
	// err = client.Challenge.SetHTTP01Provider(http01.NewProviderServer("", "80"))
	// if err != nil {
	// 	log.Fatal(err)
	// }
	// err = client.Challenge.SetTLSALPN01Provider(tlsalpn01.NewProviderServer("", "443"))
	// if err != nil {
	// 	log.Fatal(err)
	// }
   //-----------使用http服務(wù)器驗(yàn)證的方式結(jié)束-----------
   
	reg, err := client.Registration.Register(registration.RegisterOptions{TermsOfServiceAgreed: true})
	if err != nil {
		log.Fatal(err)
	}
	myUser.Registration = reg
	request := certificate.ObtainRequest{
		Domains: []string{"sd.pigudaxiang.cn"},
		Bundle:  true,
	}
	certificates, err := client.Certificate.Obtain(request)
	if err != nil {
		log.Fatal(err)
	}
	fmt.Printf("%#v\n", certificates)
	err = os.WriteFile("PrivateKey", certificates.PrivateKey, os.ModePerm)
	if err != nil {
		log.Print(err)
	}
	err = os.WriteFile("Certificate", certificates.Certificate, os.ModePerm)
	if err != nil {
		log.Print(err)
	}
	err = os.WriteFile("IssuerCertificate", certificates.IssuerCertificate, os.ModePerm)
	if err != nil {
		log.Print(err)
	}
	err = os.WriteFile("CSR", certificates.CSR, os.ModePerm)
	if err != nil {
		log.Print(err)
	}
}

到此這篇關(guān)于詳解如何使用go-acme/lego實(shí)現(xiàn)自動(dòng)簽發(fā)證書的文章就介紹到這了,更多相關(guān)go自動(dòng)簽發(fā)證書內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: