利用lnmp一键安装包配置自动更新的免费SSL证书
我的域名和博客空间原来都是在godaddy购买的,当时有个ssl的优惠(大概$14.4/年),但到期后那个续费也太贵了,就没有继续购买。不过看到现在的浏览器总是提示不安全,网址前的小锁标志上一个红叉很是不爽。于是就想申请免费的ssl证书——最开始看到有些路由器插件(甚至NAS插件)提供了 Let’sEncrypt 免费证书申请和部署功能,但折腾了许久还是存在这样或那样的问题。最近我把博客搬回了家,搭建在软路由服务的虚拟centos系统上。因为需要自己搭建建站环境,最后选择了lnmp.org提供的一键安装包,发现这个安装包太好用了,可以自动生成无人值守全自动安装命令行,直接粘贴到我的centos运行就OK了!还有就是提供了SSL证书的全自动申请和部署,在此由衷的对lnmp.org团队表示感谢!下面就将申请和部署过程记录如下,一方面与大家分享,另一方面也给自己作个备忘。
实际上lnmp一键包目前的最新版为1.6正式版,增加了php7.3等新特性支持。由于我的博客所用插件目前还不支持新的php版本,所以我最终还是选择了lnmp1.5正式版。
1、到https://lnmp.org/auto.html网页选择你的环境配置参数(包括root账户密码、管理员邮箱等敏感信息)后点击【生成】按钮,将生成无人值守全自动安装命令行。
2、ssh到你的linux系统(并进入拟下载安装包的目录),粘贴上一步生成的 无人值守全自动安装命令行即可成功搭建lnmp环境 ,类似:
wget http://soft.vpser.net/lnmp/lnmp1.5.tar.gz -cO lnmp1.5.tar.gz && tar zxf lnmp1.5.tar.gz && cd lnmp1.5 && LNMP_Auto=”y” DBSelect=”2″ DB_Root_Password=”lnmp.org” InstallInnodb=”y” PHPSelect=”5″ SelectMalloc=”1″ ./install.sh lnmp( LNMP模式,默认选项安装MySQL 5.5、MySQL root密码设置为lnmp.org、启用InnoDB、PHP 5.6、不安装内存分配器 )
3、以域名DNS服务商API方式申请SSL证书(支持api的dns解析的域名dns服务商有很多,我的godaddy也是支持的,其它域名解析服务商的命令相似,只需稍加修改即可–dnspod.com的方式在文章结尾处处介绍):
3.1、到godaddy获取apikey和secretkey(注意需立即保存,之后在网站只能查看key):https://developer.godaddy.com/keys/
3.2、导出上一步生成的key:
export GD_Key=”*****”
export GD_Secret=””
3.3、 lnmp dnsssl gd 生成ssl证书(如图设置,以生成xya.in泛域名SSL证书为例——实际上这样也自动添加了该域名网站)
注意:如果要生成通配符/泛域名SSL证书,输入其他域名时不要输入www.xya.in 的域名,否则将生成失败!!!
3.4、在godaddy里将域名解析到你的服务器,就可以用https://xya.in以ssl方式访问网站了(网址前的小绿锁终于看起来舒服多了!)
4、其它子域名网站用此证书的方法:
4.1、添加网站: 在ssh里运行lnmp vhost add 然后按提示操作添加域名(可以同时绑定多个域名,首先输入主域名,然后在输入其它域名时可以是泛域名格式,也可以将多个域名用空格隔开)、网站目录、是否伪静态(rewrite)、日志、数据库等信息,当执行到添加SSL功能时选择1(添加已有证书),并按提示输入证书文件和key文件的完整路径,比如我的就是:
/usr/local/nginx/conf/ssl/xya.in/xya.in.cer(我用fullchain.cer也可以,有的教程说Nginx只能用fullchain.cer)
/usr/local/nginx/conf/ssl/xya.in/xya.in.key
4.2、在域名解析商哪里将在域名解析到你的服务器
4.3、可以用SSL方式访问你的子域名网站了。比如我的
https://wpblog.xya.in
https://iask.xya.in
https://www.xya.in
最后再对很特殊的dnspod国际版即dnspod.com的apikey和secretkey获取方式作个简单介绍:
因为在其管理网站是不能获得这两个参数的,为了找到获取方法,我也是费了九牛二虎之力才找到用命令行的方式取得参数的方法,即在linux环境下运行如下命令获得:
curl -X POST https://api.dnspod.com/Auth -d ‘[email protected]&login_password=password&format=json’
然后在本博文的第3.2步用如下命令导入刚才获得的apikey和secretkey:
export DPI_Id=“1234”
export DPI_Key=“sADDsdasdgdsf”
之后DPI_Id 和 DPI_Key 将保存在 ~/.acme.sh/account.conf文件中以供调用
acme的account.conf文件应该是在/usr/local/acme.sh/文件夹;Nginx目录在/usr/local/nginx/文件夹
之后添加其它域名ssl方法
再次运行lnmp dns {gd|cx|dp|ali|…}即可,但我在运行lnmp dns gd输入域名、网站目录等信息后,却发现出现了
It seems the CA server is busy now, let’s wait and retry. Sleeping 1 seconds.
错误信息!
网上搜索了一下解决方案,原来说是acme更新了的原因,应该更新脚本,于是又顺序运行如下命令:
cd /usr/local/acme.sh
acme.sh --upgrade
再次运行lnmp dns gd,搞定!
当然,如果你不想手动升级acme.sh脚本, 可以开启自动升级:
acme.sh --upgrade --auto-upgrade,之后, acme.sh 就会自动保持更新了.
你也可以随时关闭自动更新:acme.sh --upgrade --auto-upgrade 0