使用 ACME 申请免费“永久”的 SSL 证书

189 天前
 BaymaxK

三个多月没写文章了,上半年经历了被裁员,找工作,入职,转正等一系列事情,目前总算是尘埃落定了,继续开始搞创作🤗

前言

通过 https 协议访问网站时,SSL 证书确保了数据传输的安全性。目前,大多数云服务提供商提供的免费证书有效期只有 90 天,想要更长时间的证书则需要付费。这意味着每隔 90 天就需要重新签发并替换证书文件。

折腾一番后,我找到了一个免费且优雅的方案,只需要在服务器上安装相关脚本,就能申请到免费的域名证书,它会定期检查证书的有效期,实现到期自动续期与更新,从而有效地获得了一个“永久”的证书。

本文就跟大家详细分享下这个方案,欢迎各位感兴趣的开发者阅读本文。

环境搭建

我们需要用到ACME这个程序来完成证书的申请与签发。

程序安装

首先,我们需要通过SSH连接到服务器,通过以下命令来安装:

curl  https://get.acme.sh | sh

安装程序会自动做以下操作:

更改默认证书

因为 acme 已经被 ZeroSSL 收购,其默认的证书方式为 ZeroSSL ,但此证书生成时会携带邮箱,因此需要更换为letsencrypt

acme.sh --set-default-ca  --server  letsencrypt

申请泛域名证书

泛域名证书是一种能够为同一个主域名(例如 kaisir.cn )下的所有子域名(如 www.kaisir.comresource.kaisir.cn 等)提供安全加密的数字证书。能够通过一个单一的证书来保护主域名及其所有子域名的数据传输,使得网站管理者无需为每个子域名分别购买和管理多个 SSL 证书。

通过 acme 申请的证书,可以绑定满足该通配符型规则的任意三级子域名,例如:

www.kaisir.cn
test.kaisir.cn
aaa.kaisir.cn
bb.kaisir.cn
...

如果你对数字证书比较感兴趣,可以移步我的另一篇文章:数字证书的理解

获取 DNS API 参数

acme 提供的泛域名证书只能通过 dns 的形式来做验证,因此我们需要进入域名解析控制台(你可以在此处找到你的域名解析提供商)创建 API ID 和 API Key 。

我这里以阿里云为例,登录成功后,去到阿里云的RAM 访问控制面板来创建用户。

配置环境变量

由于每个平台的环境变量名称是不一样的,因此你需要去acme-dnsapi 网站里找到你平台的变量名。我这里以阿里云为例,将 key 和 secret 换成上一步创建的即可。

export Ali_Key="key"
export Ali_Secret="secret"

生成证书

做完上述操作后,我们的准备工作就做完了,可以使用acme.sh脚本来创建证书了。

acme.sh --issue --dns dns_ali -d kaisir.cn -d '*.kaisir.cn' --dnssleep 300 --debug

创建成功后,你将看到如下所示的内容:

安装证书

最后,我们只需要找到创建好的证书,将其在服务器上的路径填写到 nginx 中即可。脚本会在证书快到期时,自动续期并创建相关文件。

本章节将以我的服务器为例,跟大家分享下如何去做相关的配置。

配置路径映射

如果你的服务是直接运行在宿主机上的,请跳过这一步。

我的服务是运行在 docker 容器里的,因此需要先把服务器的证书路径映射进容器中,此处我以docker-compose为例,在volumes节点下添加映射即可。

    nginx-server:
        image: nginx:1.18.0
        container_name: local_nginx
        volumes:
            - /root/.acme.sh/kaisir.cn_ecc:/usr/share/acme

注意:如果你只使用了 docker ,则需要在运行docker run指令时,通过添加-v参数来添加路径映射,例如docker run -v /root/.acme.sh/kaisir.cn_ecc:/usr/share/acme

  • /root/.acme.sh/kaisir.cn_ecc 是宿主机上的路径
  • /usr/share/acme是容器内部的路径

如果你对 docker 不是很了解,可以移步我的另一篇文章:使用 docker 来编排 Web 应用

配置 nginx

随后,我们就可以打开nginx的配置文件,指定ssl 证书的位置即可。

server {
	# 配置 ssl 证书
	ssl_certificate   /usr/share/acme/fullchain.cer;
	ssl_certificate_key  /usr/share/acme/kaisir.cn.key;
}

实现效果

最后,我们重启 nginx ,通过浏览器访问网站就能看到证书信息了🤗

写在最后

至此,文章就分享完毕了。

我是神奇的程序员,一位前端开发工程师。

如果你对我感兴趣,请移步我的个人网站,进一步了解。

4988 次点击
所在节点    程序员
44 条回复
Nosub
189 天前
刚好今天也写了一篇类似的文章,用的是 certbot ,感觉比你的简单。

使用 Certbot 申请 SSL 证书并自动续期
https://nosub.net/posts/p/167
Love4Taylor
189 天前
你不考虑下掘金图片防盗链的问题么
BaymaxK
189 天前
@Love4Taylor 😂v 站能看到就行了,问题不大。
Love4Taylor
189 天前
BaymaxK
189 天前
@Love4Taylor 奇怪了,我这里又能看到。![image-20240718000308986]( https://resource.kaisir.cn/uploads/MarkDownImg/20240718/VD6KSP.png)
BaymaxK
189 天前
@Love4Taylor 卧槽,我开浏览器的无痕模式就看不到了🙂‍↔️![image-20240718000426560]( https://resource.kaisir.cn/uploads/MarkDownImg/20240718/G42YCE.png)
ysc3839
189 天前
acme.sh 曾经出现过远程代码执行漏洞,因为是脚本,不知道现在是否还有相关漏洞,或许很难保证安全。
除了安全问题,acme.sh 解析数据似乎是直接使用 grep 等正则表达式匹配,健壮性不足。
再者还有隐性依赖问题,可能系统里没装某些工具,直接执行脚本并不能看出缺少哪些工具,等到执行到那部分时可能崩溃或出现奇怪的问题。

Certbot 主要问题是依赖过多东西,官网的 CentOS 7 安装教程干脆让装个 snap ,过于复杂了。

目前我选择 Lego https://github.com/go-acme/lego
单文件,无外部依赖,配合自己写的 systemd service 和 timer 自动运行。
DefoliationM
189 天前
看到开头就知道是公众号,直接翻到结尾。
BaymaxK
189 天前
@DefoliationM 害 也不是,就是分享文章,没其他意思。
BaymaxK
189 天前
@ysc3839 soga ,学到了
BaymaxK
189 天前
@Nosub 学到了😂,这个不错
yhxx
189 天前
v 站分享这个引不到什么流啊
这里的人应该没几个不会的
看标题说永久我还以为有什么新姿势
BaymaxK
189 天前
@yhxx 😂不引流,就是单纯的分享下
evill
189 天前
“最后,我们重启 nginx ”,acme 可以执行命令重启
--reloadcmd "service nginx force-reload"
goodryb
189 天前
不如你贴个原文的连接
BaymaxK
189 天前
veapon
189 天前
勾选第一页的所有权限
----
这个这么高的权限吗?我去原文看了下,第一页其中包括 AdministratorAccess ,AliyunECSFullAccess ,AliyunRAMFullAccess 这些
ounxnpz
189 天前
标题党
BaymaxK
189 天前
@veapon 😂 他需要的是增、删权限,我图省事,就把第一页的全勾选了
BaymaxK
189 天前
@bluicezhen 啊?不算吧,文中讲的东西确实无痛更新了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/1058116

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX