海运的博客

使用acme.sh申请Let’s Encrypt ecc免费证书

发布时间:December 2, 2019 // 分类: // No Comments

之前有记录使用certbot安装Let’s Encrypt证书,但是certbot不支持管理更新ecc证书,功能也没acme强大。
安装acme.sh,成功后会添加crontab定时自动续期。

curl  https://get.acme.sh | sh
source ~/.bashrc 

设置邮件地址,用以续期通知,也可以使用高级安装acme时指定邮箱和证书目录。

acme.sh --update-account --accountemail a@haiyun.me

高级安装:

cd /usr/local/src/
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh
./acme.sh --install --home /usr/local/acme --config-home ~/etc/acme \
--accountemail "a@haiyun.me"

使用dns验证域名,设置dnspod api,运行acme后会自动保存到配置:

export DP_Id="api id"
export DP_Key="api key"

申请ecc证书,renew-hook参数只在在issue新申请证书时有效,申请成功后将保存到域名配置文件/etc/acme/haiyun.me/haiyun.me.conf,后续renew时调用。

acme.sh --issue --dns dns_dp -d haiyun.me -d www.haiyun.me -k ec-256 --renew-hook "systemctl restart nginx"

acme申请泛域名:

acme.sh --issue --dns dns_dp -d haiyun.me -d *.haiyun.me -k ec-256

使用其它dns api:

ls /usr/local/acme/dnsapi/*gandi*
grep KEY /usr/local/acme/dnsapi/*gandi*

复制申请的证书到指定目录,acme会记录安装的位置,后续更新证书后会自动复制:

acme.sh --installcert -d haiyun.me --ecc --key-file /etc/nginx/ssl/haiyun.me.key \
--cert-file /etc/nginx/ssl/haiyun.me.cert --fullchain-file /etc/nginx/ssl/haiyun.me.fullchain.cer \
--reloadcmd  "nginx -s reload"

吊销证书:

acme.sh --revoke -d haiyun.me --ecc

更新证书:

acme.sh --renew -d haiyun.me --ecc

crontab定时更新:

00 1 * * * /usr/local/acme/acme.sh --cron --home "/usr/local/acme" --config-home "/etc/acme"

标签:none

发表评论

分类
最新文章
最近回复
  • crowjin: 你确定这能过滤??不是所有请求都返回空地址::?
  • : linux系统上单个网卡多条宽带拨号获取公网IP,外网可以访问这些IP,有偿! Q:25299...
  • 硅谷少年: 非常有用,感谢分享
  • spartan2: https://dashboard.hcaptcha.com/welcome_accessib...
  • 海运: 应该能,在购买页面先手工跳过cf机器验证,后续一定时间内不更换ip应该不会再次验证。
  • spartan: 大佬斯巴达开启了CF的机器识别验证,请问插件能自动跳过吗? 另外这个脚本有没有简单使用说明,新...
  • vincent: 膜拜大佬
  • 海运: proxy-header或proxy_protocol
  • liangjw: 如果是 内部调用 或者 中间存在 代理 而上一个代理又在内网 ,那怎么处理来自代理私有IP?
  • chainofhonor: 感谢,用dnsmasq设置自动判断BIOS和UEFI成功了