奇点灰烬

ACME脚本客户端申请泛域名证书(手动模式)
众所周知,acme脚本想要配置自动续期是要交出域名的api的,出于安全考虑,有的人不想交出域名的api,那就用手动...
扫描右侧二维码阅读全文
05
2021/09

ACME脚本客户端申请泛域名证书(手动模式)

众所周知,acme脚本想要配置自动续期是要交出域名的api的,出于安全考虑,有的人不想交出域名的api,那就用手动模式吧,90天后手动续期
acme目前已经将默认的根证书颁发机构变成了。 zerossl
5dEIY.png
所以我们得先去注册个账号哈。 注册地址
5dQhv.png
注册完还得获取账户的EAB凭证,用来注册acme帐户。 点击
5dStq.png
点击生成会生成你的eab-kid和eab-hmac-key,复制保存下来.

  • 安装acme脚本
curl https://get.acme.sh | sh
  • 刷新bash
source ~/.bashrc 
  • 注册ACME帐户
acme.sh  --register-account  --server zerossl \
        --eab-kid  你的eab-kid \
        --eab-hmac-key  你的eab-hmac-key
  • 手动申请证书,*为泛域名
acme.sh  --issue  --dns   -d mydomain.com -d *.mydomain.com \
 --yes-I-know-dns-manual-mode-enough-go-ahead-please

这个时候,如无意外的话会弹出提示,需要你添加两条txt记录来验证你的域名所有权,我们照着添加即可。
5d0jc.png

  • 刷新验证域名txt记录
acme.sh  --renew -d mydomain.com -d *.mydomain.com \
 --yes-I-know-dns-manual-mode-enough-go-ahead-please

如无意外的话证书就下来了,签发完毕后证书会保存在/root/.acme.sh目录下,我们一般不直接访问此目录。

  • 安装到nginx
acme.sh --install-cert -d mydomain.com \
--key-file        /usr/local/nginx/conf/ssl/key.pem  \
--fullchain-file  /usr/local/nginx/conf/ssl/cert.pem \
--reloadcmd     "service nginx force-reload"
  • 手动续期
    90天到期后,重新执行验证域名的txt记录并刷新证书即可
最后修改:2021 年 11 月 05 日 04 : 41 AM

发表评论