HTTPS证书终于挥下了无情的镰刀-HTTPS证书自动续签方案

现在网站基本都上了 HTTPS 证书

阿里云 SSL 产品日前发布公告,公告显示自 2023 年 11 月 14 日开始生效厂商策略,对于免费提供的 SSL 证书签发后证书有效期统一为 3 个月,不再免费提供 1 年版免费证书。想要 1 年的需要购买 68 块一年。终于 HTTPS 证书也开始收割了。有钱的可以去支持下,毕竟不能一直靠爱发电

继而腾讯云等相关证书厂商也都更改了策略,一时间 HTTPS 证书哀嚎遍野。 腾讯云可以申请 1 年的的,但是数量只有 10 个。

之前是免费 1 年的,数量也够用,也就懒得折腾了。到期再换,本来也想看证书自动续期的方案,正好借此机会研究下。

使用 acme.sh 自动签发 ZeroSSL 的 ECC 证书

安装 acme.sh

  1. 先安装好 curl,然后执行脚本:

curl https://get.acme.sh | sh

国内服务器使用
git clone https://gitee.com/neilpang/acme.sh.git

执行命令

cd acme.sh
./acme.sh --install -m [email protected]

请注意替换 [email protected] 为你自己的邮箱,方便证书到期或者签发等结果通知。

安装完成后重新加载 Bash:

source ~/.bashrc

然后开启自动更新:

acme.sh --upgrade --auto-upgrade

目前 acme.sh 支持 5 个正式环境 CA,分别是

  • Let's Encrypt

  • Buypass

  • ZeroSSL

  • SSL.com

  • Google Public CA,

默认使用 ZeroSSL,如果需要更换可以使用如下命令:

切换 Let's Encrypt
acme.sh --set-default-ca --server letsencrypt
切换 Buypass
acme.sh --set-default-ca --server buypass
切换 ZeroSSL
acme.sh --set-default-ca --server zerossl
切换 SSL.com
acme.sh --set-default-ca --server ssl.com
切换 Google Public CA
acme.sh --set-default-ca --server google

配置 zerossl 的泛域名证书

如果没有 zerossl 账户也是可以生成的,但是建议注册个账户方便以后通过 api 管理你申请的证书。

注册后进入 developer 界面

HTTPS证书终于挥下了无情的镰刀-HTTPS证书自动续签方案_第1张图片

如图上面是 API key,下面是 EAB

将 acme.sh 的注册服务器改为 ZeroSSL

acme.sh --register-account --server zerossl \
        --eab-kid xxxxxxxxxxxx  \
        --eab-hmac-key xxxxxxxxx

获取 eab-kid 和 eab-hmac-key
  • 方式 1 通过 API Key 获取

curl -s -X POST "https://api.zerossl.com/acme/eab-credentials?access_key=c3xxxxxx"
{
"success": true,
"eab_kid": "EWxxxxxxxx",
"eab_hmac_key": "KPeQJxxxxxxxxx"
}
  • 方式 2 直接生成 eab

HTTPS证书终于挥下了无情的镰刀-HTTPS证书自动续签方案_第2张图片

保存后执行上面的命令 将 acme.sh 的注册服务器改为 ZeroSSL,然后返回注册成功信息

使用 Dns Api 注册正式

可以申请泛域名证书。 比如 *.abc.com 可以自动检测更新。

有多种方式可以申请证书,但是 如果使用泛域名,只能使用 DNS API 模式,且会自动更新,推荐这种方式:

为了保证安全 创建一个用户 单独申请 DNS 管理权限

  1. 打开 RAM 访问控制-->身份管理-->创建用户”,输入 用户名、备注; 选择 OpenAPI 调用访问 启用 AccessKey ID 和 AccessKey Secret, 支持通过 API 或其他开发工具访问

点击右边的“添加权限”按钮,打开授权窗口。

HTTPS证书终于挥下了无情的镰刀-HTTPS证书自动续签方案_第3张图片

有了 key 和 secret 然后执行命令创建

# 先添加阿里云Aliyun的DNS api密钥到临时环境变量
export Ali_Key="AccessKeyId"
export Ali_Secret="AccessKeySecret"

执行注册命令 (可以进行单域名、多域名、泛域名进行颁发。)

# 上面的临时变量,在添加证书后,会保存在account.conf中,后续不需要再指定
acme.sh --issue --dns dns_ali -d abc.com -d *.abc.com --keylength ec-256

#查看命令帮助
acme.sh -h

--dns 指定 DNS 服务商,dns_dp 代表 DNSPod,还有 dns_cf 代表 CloudFlare,更多的字段见 https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

-d *.abc.com 表示签发泛域名证书 如果 shell 工具不行视情况加*转义

--keylength ec-256 表示签发 ECC 证书,不添加则签发 RSA 证书,可选参数还有 ec-384 和 ec-521

这里会进行域名的 DNS 验证,中间会等待 若干 秒来验证正确性,验证成功后会有成功标记。

HTTPS证书终于挥下了无情的镰刀-HTTPS证书自动续签方案_第4张图片

成功后会显示证书目录信息

腾讯云 同理。
export DP_Id="API Token 的 ID"
export DP_Key="API Token"
acme.sh --issue --dns dns_dp -d abc.com -d *.abc.com --keylength ec-256

要停止续签某域名的话,手动执行 然后删除证书目录

acme.sh --remove -d abc.com

其他

ECC 证书:ECC 证书是基于 ECC 算法的 SSL 证书,ECC 证书中文名称为椭圆加密算法,新一代算法趋势主流,一般采用 256 位加密长度,加密速度快,效率更高,对服务器资源消耗低,而且最重要的是更安全,抗攻击型更强。

RSA 证书:RSA 证书是基于 RSA 算法的 SSL 证书,RSA 算法是国际标准算法,应用较早,最为普及,比 ECC 算法的适用范围更广,兼容性更好,一般采用 2048 位的加密长度,但是对服务端性能消耗高。

acme 的 github 地址(https://github.com/acmesh-official/acme.sh?tab=readme-ov-file)


欢迎关注,后面会有一些资源可以免费获取哟~

分享前后端编程经验,技术干货,技术方案,好的资源,工具,提高开发效率。

HTTPS证书终于挥下了无情的镰刀-HTTPS证书自动续签方案_第5张图片

你可能感兴趣的:(系统工具,https,acme,ssl,linux)