Let's Encrypt Let's go(acme)

早就要想弄let’s encrypt 但是由于一直忙外加Let’s encrypt 初期复杂没有弄。

今天要迁移一公司服务用到的https证书过期，故又弄起来let’s encrypt。它的简介这里就不描述了，网上很多介绍的不错直接进入主题。

1、获取 Certbot 客户端

wget https://dl.eff.org/certbot-auto
chmod a+x ./certbot-auto
./certbot-auto —help

2、配置 nginx 、验证域名所有权

配置下nginx.conf 添加如下，这是必须要开80端口，let’s encrypt 服务器会到这里验证，要开下面的验证通道。配置完后进行重载

location ^~ /.well-known/acme-challenge/ {
default_type “text/plain”;
root html/authserver.eglsgame.com/;
}
location = /.well-known/acme-challenge/ {
return 404;
}

3、生成证书

证书生成成功后，会有 Congratulations 的提示，并告诉我们证书放在 /etc/letsencrypt/live 这个位置。（生成过程中卡在python install，必须要自己修改下源，步骤如下要不然过不去。

mkdir -p ~/.pip/
vi ~/.pip/pip.conf
添加
[global]
index-url = http://mirrors.aliyun.com/pypi/simple/
[install]
trusted-host=mirrors.aliyun.com

./certbot-auto certonly --webroot -w /mnt/data/authresource/html/authserver.eglsgame.com --email limingjun@egls.cn -d authserver.eglsgame.com

4、配置 Nginx

ssl_certificate /etc/letsencrypt/live/authserver.eglsgame.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/authserver.eglsgame.com/privkey.pem;

这里还需要注意，必须要/etc/letsencrypt目录权限，要不然会报权限问题。修改重载后浏览器就可以获得漂亮的绿色。

5、配置更新

测试更新
./certbot-auto renew —dry-run

手动更新
/certbot-auto renew -v
添加自动更新脚本
vi /opt/letsencrypt/renew.sh

/opt/letsencrypt/certbot-auto renew —quiet —no-self-upgrade
cd /mnt/data/authresource
./ming -s reload

添加crontab

30 2 * * 0 /opt/letsencrypt/renew.sh 每周日执行一次

6、验证服务器的https安全性

image.png

7、通配符域名申请

./certbot-auto certonly  -d *.eglsgame.com --manual --preferred-challenges dns
--server https://acme-v02.api.letsencrypt.org/directory

certonly，表示安装模式，Certbot 有安装模式和验证模式两种类型的插件。
--manual 表示手动安装插件，Certbot 有很多插件，不同的插件都可以申请证书，用户可以根据需要自行选择
-d 为那些主机申请证书，如果是通配符，输入 *.newyingyong.cn（可以替换为你自己的域名）
--preferred-challenges dns，使用 DNS 方式校验域名所有权
--server，Let's Encrypt ACME v2 版本使用的服务器不同于 v1 版本，需要显示指定。

注意验证时，需要添加TXT记录

最近发现了acme很强大的工具

1，安装

curl https://get.acme.sh | sh

2，生产域名证书

/root/.acme.sh/acme.sh --issue -d "xxx.daemon.com" -w /mnt/webserver/html/

3，生产nginx使用

/root/.acme.sh/acme.sh --install-cert -d "towngame.mengcloud.com.cn" --fullchain-file /etc/certs/towngame.mengcloud.com.cn/fullchain.pem --key-file /etc/certs/towngame.mengcloud.com.cn/privkey.pem  --reloadcmd     "sudo systemctl restart ming"

最后编辑于：2020.06.11 14:43:52

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 216,402评论 6赞 499
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 92,377评论 3赞 392
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 162,483评论 0赞 353
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 58,165评论 1赞 292
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 67,176评论 6赞 388
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 51,146评论 1赞 297
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 40,032评论 3赞 417
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 38,896评论 0赞 274
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 45,311评论 1赞 310
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 37,536评论 2赞 332
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 39,696评论 1赞 348
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 35,413评论 5赞 343
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 41,008评论 3赞 325
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 31,659评论 0赞 22
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 32,815评论 1赞 269
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 47,698评论 2赞 368
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 44,592评论 2赞 353

Let's Encrypt Let's go(acme)

推荐阅读更多精彩内容