使用ACME在阿里云服务器上配置SSL证书

安装acme.sh

使用命令:curl https://get.acme.sh | sh

[root@******** ~]# curl  https://get.acme.sh | sh

acme.sh默认安装到了当前家目录。

[root@******** ~]# cd .acme.sh/
[root@******** .acme.sh]# ll
total 236
-rw-r--r-- 1 root root    353 Dec 25 20:07 account.conf
-rwxr-xr-x 1 root root 194998 Dec 25 20:07 acme.sh
-rw-r--r-- 1 root root     78 Dec 25 17:08 acme.sh.csh
-rw-r--r-- 1 root root     78 Dec 25 17:08 acme.sh.env
drwxr-xr-x 3 root root   4096 Dec 25 17:22 ca
drwxr-xr-x 2 root root   4096 Dec 25 20:07 deploy
drwxr-xr-x 2 root root   4096 Dec 25 20:07 dnsapi
-rw-r--r-- 1 root root   2723 Dec 25 20:07 http.header

此次安装,会自动在crontab创建定时任务。

[root@********* ~]# crontab -l
15 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

添加自动DNS验证

登陆阿里云,鼠标放在头像上,就可以看到accesskey管理使用ACME在阿里云服务器上配置SSL证书_第1张图片
提示使用子用户Accesskey,点击:开始使用子用户Accesskey
使用ACME在阿里云服务器上配置SSL证书_第2张图片
新建用户,输入信息,点击确定;
使用ACME在阿里云服务器上配置SSL证书_第3张图片
记住AccessKeyID和AccessKeySecret
使用ACME在阿里云服务器上配置SSL证书_第4张图片给用户添加权限:管理云解析(DNS)的权限
使用ACME在阿里云服务器上配置SSL证书_第5张图片

ACME配置

导入API信息到acme.sh,运行命令

export Ali_Key="1234"
export Ali_Secret="sADDsdasdgdsf"

申请证书

acme.sh --issue --dns dns_ali -d *.example.com

安装证书

acme.sh --install-cert -d *.example.com --key-file /usr/local/nginx/conf/ssl/example.com.key --fullchain-file /usr/local/nginx/conf/ssl/fullchain.cer --reloadcmd "service nginx force-reload";

配置nginx

server {
    listen 80;
    listen 443 ssl default_server;
    server_name www.example.com;
    access_log /data/wwwlogs/access_nginx.log combined;
    root /data/wwwroot/default;
    index index.html index.htm index.php;

    ssl_certificate /usr/local/nginx/conf/ssl/fullchain.cer;
    ssl_certificate_key /usr/local/nginx/conf/ssl/example.com.key;

    #ssl性能调优
    #nginx 1.13.0支持了TLSv1.3,TLSv1.3相比之前的TLSv1.2、TLSv1.1等性能大幅提升
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    ssl_prefer_server_ciphers on;
    ssl_session_timeout 10m;
    #使用ssl_session_cache优化https下Nginx的性能
    ssl_session_cache builtin:1000 shared:SSL:10m;
    #OCSP Stapling 开启。OCSP是用于在线查询证书吊销情况的服务,使用OCSP Stapling能将证书有效状态的信息缓存到服务器,提高 TLS 握手速度
    ssl_stapling on;
    #OCSP Stapling 验证开启
    ssl_stapling_verify on;


    #error_page 404 /404.html;
    #error_page 502 /502.html;
    location /nginx_status {
      stub_status on;
      access_log off;
      allow 127.0.0.1;
      deny all;
    }

然后,重启nginx 服务器,就OK了

添加安全组规则

开放端口443
使用ACME在阿里云服务器上配置SSL证书_第6张图片

你可能感兴趣的:(LINUX)