组件分享之后端组件——用于从 ACME 服务器（例如 Let's Encrypt）自动获取证书的工具acmetool

组件分享之后端组件——用于从 ACME 服务器（例如 Let's Encrypt）自动获取证书的工具acmetool

背景

近期正在探索前端、后端、系统端各类常用组件与工具，对其一些常见的组件进行再次整理一下，形成标准化组件专题，后续该专题将包含各类语言中的一些常用组件。欢迎大家进行持续关注。

组件基本信息

• 组件：acmetool
• 开源协议：暂无

内容

本节我们分享一个用于从 ACME 服务器（例如 Let's Encrypt）自动获取证书的工具acmetool。它具有以下特性：
✅零停机时间自动更新
✅支持任何网络服务器
✅完全自动化
✅单文件无依赖二进制
✅幂等的
✅快速设置

您可以使用端口 80 或 443 执行验证（如果您还没有在其中一个上运行服务器）；通过网络根；通过将您的网络服务器配置为代理对/.well-known/acme-challenge/acmetool 可以侦听的特殊端口 (402) 的请求；或者通过将您的网络服务器配置为不在端口 80 上侦听，而是在端口 80 上运行 acmetool 的内置 HTTPS 重定向器（和质询响应器）。如果您只想使用端口 80 将人们重定向到端口 443，这将非常有用。

您可以在 cron 作业上运行 acmetool 以自动更新证书 ( acmetool --batch)。给定主机名的首选证书始终位于 /var/lib/acme/live/HOSTNAME/{cert,chain,fullchain,privkey}. 您可以将 acmetool 配置为在更新证书时自动重新加载您的网络服务器。

acmetool 旨在“无魔法”。acmetool 的所有状态都存储在一个简单、易于理解的平面文件目录中。此目录的架构已记录在案。

acmetool 旨在像“make”一样工作。状态目录表示目标域名，并且每当调用 acmetool 时，它都会确保有效的证书可用于满足这些名称。即将到期的证书将被更新。因此，acmetool 是幂等的，并最大限度地减少了状态的使用。

可以选择使用 acmetool而不以 root 身份运行它。如果您有使用官方客户端颁发的现有证书，acmetool 可以导入这些证书、密钥和帐户密钥 ( acmetool import-le)。

acmetool 支持 RSA 和 ECDSA 密钥和证书。acmetool 的通知挂钩系统允许您编写任意 shell 脚本以在获得新证书时执行。默认情况下，这用于自动重新加载网络服务器，但它也可以用于将证书分发到其他服务器或用于其他目的。

Ubuntu下使用方式：

$ sudo add-apt-repository ppa:hlandau/rhea
$ sudo apt-get 更新
$ sudo apt-get install acmetool

Debian下使用方式：

# echo 'deb http://ppa.launchpad.net/hlandau/rhea/ubuntu xenial main' > /etc/apt/sources.list.d/rhea.list
# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 9862409EF124EC763B84972FF5AC9651EDB58DFA
# apt-get update
# apt-get install acmetool

具体使用方式：

#运行快速启动向导。设置帐户、cronjob 等。
#（如果要使用 ECDSA 密钥或设置 RSA 密钥大小，请传递“--expert”。）
$ sudo acmetool quickstart

#如有必要，配置您的网络服务器以应对挑战。
#见 https://hlandau.github.io/acmetool/userguide#web-server-configuration
$...

#请求你想要的主机名：
$ sudo acmetool want example.com www.example.com

#现在你有了证书： 
$ ls -l /var/lib/acme/live/example.com/

更多使用方式，可参见官方提供的README

本文声明：

88x31.png

知识共享许可协议
本作品由 cn華少 采用 知识共享署名-非商业性使用 4.0 国际许可协议 进行许可。