当前位置: 首页 > 工具软件 > acme.sh > 使用案例 >

acme.sh 生成免费证书,维护证书

洪建茗
2023-12-01

什么是acme.sh

用shell脚本从Let’s Encrypt 或 zerossl 两个颁发证书的源站,获取ssl证书, 并定期维护的一个开源产品。在证书过期前,自动更新。为我们带来了开源的便利, 同时也节省了维护证书的所花的时间成本。

生成证书的流程

  1. 安装acme.sh

    curl https://get.acme.sh | sh -s email=my@example.com
    
       //切换到let's encrypt源颁发机构
    /root/.acme.sh/acme.sh --set-default-ca --server letsencrypt
    

    这里my@example.com可以随便填, 个人建议还是用自己的邮箱,本人的一个域名因为特殊字符没有自动更新, 会提前发邮件通知到。

  2. 下载生成证书

    acme.sh --issue -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/
    

    www.mydomain.com是申请证书的域名, /home/wwwroot/mydomain.com 是域名对应的项目目录

  3. 复制证书到系统中证书所在的目录

    acme.sh --install-cert -d example.com \
    --key-file       /path/to/keyfile/in/nginx/key.pem  \
    --fullchain-file /path/to/fullchain/nginx/cert.pem \
    --reloadcmd     "nginx -s reload"
    

遇到的一些问题

  1. 生成证书时,提示“Verify error , Connection refused” 或者 404

    提示“Verify error: Fetching http://domain/.well-known/acme-challenge/lf-SJ97SVZRiumXXaPn-ZLVO7Vom10jAfRVzLp61SNc: Connection refused”

    或者 “Verify error: Invalid response from http://domain/.well-known/acme-challenge/L9Hqu3SPv7d3exJY7csWQnuPj6tnG5Tpzt4KUiftzlE: 404”;

    这里在项目目录做验证时用到的是http请求,而我的nginx只配置了https,http请求得不到响应,影响了验证。 所以将http请求重定向到https。 在nginx的配置文件中加入了下面代码

server {
        listen 80;
        server_name domain.com;
        # Redirect all port 80 (HTTP) requests to port 443 (HTTPS).
        return 301 https://domain.com$request_uri;
    }

重启nginx后, 再次生成证书,成功。

2.注意:acme.sh从 Let’s Encrypt获取时有次数、频率的限制

刚开始使用acme.sh时, 频繁生成证书用于测试、实验。 超过了规定的次数后, 
会报“`too many certificates already issued for exact set of domains`”。  

  官方文档给出的是: 同一个注册域名, 每周生成的证书数量不能超过5张,
   否则会提示“`too many certificates already issued for exact set of domains`”。

   还有其他的限制, 比如同一个ip地址,3小时内最多可创建10个账户。  要注意一些,以免影响自己的业务。

  链接:[https://letsencrypt.org/zh-cn/docs/rate-limits/](https://letsencrypt.org/zh-cn/docs/rate-limits/)

3.acme.sh 使用Zerossl作为证书颁发机构。

 acme.sh 从v3开始 默认使用Zerossl做成证书颁发机构。如果不加 acme.sh --set-default-ca --server letsencrypt, 切换到letsencrypt。 就需要先注册账号,
acme.sh  --register-account  -m myemail@example.com --server zerossl

这里对本机系统的openssl版本有要求, 我的是1.0.2k-fips, 会提示“Usage: _hmac hashalg secret [outputhex]”。 所以需要更新openssl最新版 ,这里自行去百度一下,更新完后,再次注册,会成功。

但是在下载证书是,一直提示超时,这个问题还没有解决, 所以暂时先用let‘s encrypt。

 类似资料: