组件分享之后端组件——用于从 ACME 服务器(例如 Let's Encrypt)自动获取证书的工具acmetool

组件分享之后端组件——用于从 ACME 服务器(例如 Let's Encrypt)自动获取证书的工具acmetool

背景

近期正在探索前端、后端、系统端各类常用组件与工具,对其一些常见的组件进行再次整理一下,形成标准化组件专题,后续该专题将包含各类语言中的一些常用组件。欢迎大家进行持续关注。

组件基本信息

  • 组件:acmetool
  • 开源协议:暂无

内容

本节我们分享一个用于从 ACME 服务器(例如 Let's Encrypt)自动获取证书的工具acmetool。它具有以下特性:
✅零停机时间自动更新
✅支持任何网络服务器
✅完全自动化
✅单文件无依赖二进制
✅幂等的
✅快速设置

您可以使用端口 80 或 443 执行验证(如果您还没有在其中一个上运行服务器);通过网络根;通过将您的网络服务器配置为代理对/.well-known/acme-challenge/acmetool 可以侦听的特殊端口 (402) 的请求;或者通过将您的网络服务器配置为不在端口 80 上侦听,而是在端口 80 上运行 acmetool 的内置 HTTPS 重定向器(和质询响应器)。如果您只想使用端口 80 将人们重定向到端口 443,这将非常有用。

您可以在 cron 作业上运行 acmetool 以自动更新证书 ( acmetool --batch)。给定主机名的首选证书始终位于 /var/lib/acme/live/HOSTNAME/{cert,chain,fullchain,privkey}. 您可以将 acmetool 配置为在更新证书时自动重新加载您的网络服务器。

acmetool 旨在“无魔法”。acmetool 的所有状态都存储在一个简单、易于理解的平面文件目录中。此目录的架构已记录在案。

acmetool 旨在像“make”一样工作。状态目录表示目标域名,并且每当调用 acmetool 时,它都会确保有效的证书可用于满足这些名称。即将到期的证书将被更新。因此,acmetool 是幂等的,并最大限度地减少了状态的使用。

可以选择使用 acmetool而不以 root 身份运行它。如果您有使用官方客户端颁发的现有证书,acmetool 可以导入这些证书、密钥和帐户密钥 ( acmetool import-le)。

acmetool 支持 RSA 和 ECDSA 密钥和证书。acmetool 的通知挂钩系统允许您编写任意 shell 脚本以在获得新证书时执行。默认情况下,这用于自动重新加载网络服务器,但它也可以用于将证书分发到其他服务器或用于其他目的。

Ubuntu下使用方式:

$ sudo add-apt-repository ppa:hlandau/rhea
$ sudo apt-get 更新
$ sudo apt-get install acmetool

Debian下使用方式:

# echo 'deb http://ppa.launchpad.net/hlandau/rhea/ubuntu xenial main' > /etc/apt/sources.list.d/rhea.list
# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 9862409EF124EC763B84972FF5AC9651EDB58DFA
# apt-get update
# apt-get install acmetool

具体使用方式:

#运行快速启动向导。设置帐户、cronjob 等。
#(如果要使用 ECDSA 密钥或设置 RSA 密钥大小,请传递“--expert”。)
$ sudo acmetool quickstart

#如有必要,配置您的网络服务器以应对挑战。
#见 https://hlandau.github.io/acmetool/userguide#web-server-configuration
$...

#请求你想要的主机名:
$ sudo acmetool want example.com www.example.com

#现在你有了证书: 
$ ls -l /var/lib/acme/live/example.com/

更多使用方式,可参见官方提供的README

本文声明:

88x31.png

知识共享许可协议
本作品由 cn華少 采用 知识共享署名-非商业性使用 4.0 国际许可协议 进行许可。

你可能感兴趣的:(组件分享之后端组件——用于从 ACME 服务器(例如 Let's Encrypt)自动获取证书的工具acmetool)