相关概念
- Let‘s Encrypt - 提供免费的 HTTPS 证书,但需要定期更新
- lego - Go 语言实现的 Let’s Encrypt 客户端及 ACME 库
- certbot - Let’s Encrypt 官方推荐的客户端
目标需求
- 注册可以所有子域名共用的通配符证书,包含
*.crowxxx.com
、crowxxx.com
- 能够定期自动更新证书
- 域名的 DNS 服务器在 阿里云、Godaddy 上
- 反向代理服务器使用的是 Nginx
方案选择
- 为什么用通配符证书?
普通证书 - 每个域名分别对应一个证书,有效期更久
通配符证书 - 根域名统一使用一个证书,有效期更短,但不用没新增一个子域名就去申请新证书
- 为什么用 lego,而不用 certbot?
对应通配符证书,certbot 的自动更新只支持 有限的 DNS 服务器,阿里云和 Godaddy 都不在之列
- 为什么用 DNS 方式验证域名
HTTP 方式 - 在域名对应的网站指定目录下放验证文件,不支持通配符证书验证
DNS 方式 - 在域名 DNS 中添加 TXT 记录解析验证文本,都支持,但如果要实现自动更新,需要 DNS 服务器提供 API
具体实现
安装 lego
在发版页面
https://github.com/go-acme/lego/releases
找到对应平台的最新版本
lego_v3.4.0_linux_amd64.tar.gz
下载并安装
# 下载
wget https://github.com/go-acme/lego/releases/download/v3.4.0/lego_v3.4.0_linux_amd64.tar.gz
# 解压包中的lego文件
tar -xvf lego_v3.4.0_linux_amd64.tar.gz lego
# 移动到bin目录
mv lego /usr/local/bin/
# 查看帮助
lego -h
获取 DNS 服务器 API 参数
LEGO 使用说明
根据 阿里云 DNS 代理配置说明 得知需要去阿里云申请 API 授权,得到参数
- 登陆阿里云控制台
https://homenew.console.aliyun.com/
访问控制 > 用户 > 新建用户
登陆名: dns
显示名: dns
访问方式: 编程式访问
创建后,添加权限: AliyunDNSFullAccess
最终得到 AccessKey ID、AccessKeySecret
获取证书
# 我使用的是root用户,证书会生成到当前目录的.lego目录里
cd /root/
# ALICLOUD_ACCESS_KEY、ALICLOUD_SECRET_KEY 设置为对应的 API 参数
# --path 为配置和证书生成目录,如果不指定默认为 `./.lego`
# --dns 为 DNS 服务器 Code
ALICLOUD_ACCESS_KEY=LTAI4FtPNv... \
ALICLOUD_SECRET_KEY=ULv4Y7Ac... \
lego --email="[email protected]" --domains="*.crowxxx.com" --domains="crowxxx.com" --dns="alidns" run
成功输出为
Server responded with a certificate.
错误输出 Incorrect TXT record
,TXT 更新慢导致的,多执行几次就好了
acme: error: 403 :: urn:ietf:params:acme:error:unauthorized :: Incorrect TXT record "null" found at \_acme-challenge.crowxxx.com, url:
- 显示
./.lego
目录下的证书信息
lego list
Nginx 配置 HTTPS 服务器
- DNS 服务器后台,解析域名 crowxxx.com 到本机公网 IP
- Nginx 添加配置(按需配置)
# 把所有HTTP请求重定向到HTTPS上
server {
listen 80;
server_name crowxxx.com *.crowxxx.com;
return 301 https://$host$request_uri;
}
# 配置根域名静态网站
server {
server_name crowxxx.com;
listen 443 ssl;
listen [::]:443 ssl;
# 配置SSL证书
ssl_certificate /root/.lego/certificates/_.crowxxx.com.crt;
ssl_certificate_key /root/.lego/certificates/_.crowxxx.com.key;
root /web/crowxxx.com;
location / {}
}
# 配置子域名转发
server {
server_name api.crowxxx.com;
listen 443 ssl;
listen [::]:443 ssl;
ssl_certificate /root/.lego/certificates/_.crowxxx.com.crt;
ssl_certificate_key /root/.lego/certificates/_.crowxxx.com.key;
location / {
proxy_pass http://localhost:7070;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_read_timeout 90;
}
}
- 重载配置
nginx -s reload
- 打开
https://crowxxx.com
、https://api.crowxxx.com
测试
手动更新证书
# --renew-hook="nginx -s reload",表示刷新证书成功后执行的命令,nginx需要重载证书
ALICLOUD_ACCESS_KEY=LTAI4FtPNv... \
ALICLOUD_SECRET_KEY=ULv4Y7Ac... \
lego --email="[email protected]" --domains="*.crowxxx.com" --domains="crowxxx.com" --dns="alidns" renew --days=30 --renew-hook="nginx -s reload"
自动更新证书脚本
用 crontab 启动自动更新脚本
- 创建可执行脚本
cd /root/.lego
touch autorenew.sh
chmod +x autorenew.sh
vi autorenew.sh
#!/bin/sh
ALICLOUD_ACCESS_KEY=LTAI4FtPNv... \
ALICLOUD_SECRET_KEY=ULv4Y7Ac... \
lego \
--path="/root/.lego" \
--email="[email protected]" \
--domains="*.crowxxx.com" --domains="crowxxx.com" \
--dns="alidns" \
renew --days=30 --renew-hook="nginx -s reload" >> autorenew.log
- 测试脚本
日志输出到 autorenew.log
./autorenew.sh
cat autorenew.log
- 添加到 crontab 中
crontab -e
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin
# Run lego renew every 12 hours.
0 */12 * * * cd /root/.lego && ./autorenew.sh
如果是 Godaddy DNS 服务器
环境变量配置参见
https://go-acme.github.io/lego/dns/godaddy/
Godaddy API 授权地址
https://developer.godaddy.com/
API Keys > Create New API Key
Name: dns
Environment: Production
Key: e4hSWNft7zt3_DUf4L...
Secret: UKotQzyNmu...
GODADDY_API_KEY=e4hSWNft7zt3_DUf4L... \
GODADDY_API_SECRET=UKotQzyNmu... \
lego --email="[email protected]" --domains="*.panxxx.xyz" --domains="panxxx.xyz" --dns="godaddy" run
与阿里云除了环境变量和 dns 不同,其他实现都一样了