ssl证书90天过期?保姆级教程——使用acme.sh实现证书的自动续期
- 腾讯云相关文档相关参考-有的点不准确
前言
最近https到期了,想着手动更新一下https证书,结果发现证书现在的有效期只有90天,于是想找到一个自动更新证书的工具,发现了acme.sh,但是网上的文章质量参差不齐,可能需要多篇文章结合来操作,一步步试错。我这里结合了腾讯云的相关文档和一些其他的博文,保证一次性操作成功。
下载acme.sh
git clone https://gitee.com/neilpang/acme.sh.git
安装acme.sh
注意换成自己的邮箱号
./acme.sh --install -m xxxx@163.com
设置自动升级
acme.sh --upgrade --auto-upgrade
选择ZeroSSL作为服务商
因为ZeroSSL可以支持泛域名,所以这里我就选择了ZeroSSL。
acme.sh --set-default-ca --server zerossl
- 关联一下自己的邮箱
acme.sh --register-account -m acurd_com@163.com --server zerossl
腾讯云创建api秘钥账户
SecretIdAKIDHVYSCnFXEkKrCMLBxxxx
SecretKeyEf8SZTFrQvTwEPRGulxxxxx
- 将秘钥导入环境变量
export Tencent_SecretId="xxxxx"
export Tencent_SecretKey="xxxxx"
- 申请证书
其中*.acurd.com是泛域名,acurd.com是根域名,
acme.sh --dns dns_tencent --issue -d *.acurd.com -d acurd.com
-
命令执行完毕,证书即颁发下来了
-
创建目录用来存储ssl
mkdir -p /home/ssl/acurd.com
- 安装证书到指定位置
acme.sh --installcert -d *.acurd.com \--key-file /home/ssl/acurd.com/*.acurd.com.key \--fullchain-file /home/ssl/acurd.com/fullchain.cer \--reloadcmd "service nginx reload"
- 查看文件
ls /home/ssl/acurd.com
[root@iZ2zeguqeswvn0s3zfrlyfZ acme.sh]# ls /home/ssl/acurd.com/
*.acurd.com.key fullchain.cer
- 修改nginx的证书目录
# 请替换为证书实际路径ssl_certificate /home/ssl/acurd.com/fullchain.cer;ssl_certificate_key /home/ssl/acurd.com/*.acurd.com.key;
重启Nginx服务,查看生效
配置根域名的https
acme.sh --installcert -d acurd.com \--key-file /home/ssl/root/acurd.com.key \--fullchain-file /home/ssl/root/fullchain.cer \--reloadcmd "service nginx reload"
如何自动续期
现在我们已经配置好了https,那么怎么实现自动续期呢,基于crontab我们就可以实现了,我们先写一个脚本refresh_https.sh
[root@iZ2zeguqeswvn0s3zfrlyfZ /]# vi /usr/local/acme.sh/refresh_https.sh#!/bin/bash
# 切换到 acme.sh 目录
cd /usr/local/acme.sh
./acme.sh --dns dns_tencent --issue -d *.acurd.com -d acurd.com# 执行 acme.sh 命令获取证书
./acme.sh --installcert -d *.acurd.com \--key-file /home/ssl/acurd.com/*.acurd.com.key \--fullchain-file /home/ssl/acurd.com/fullchain.cer \--reloadcmd "service nginx reload"# 退出脚本
exit 0
- 定时任务,每两个月执行一次更新操作
0 0 1 2,4,6,8,10,12 * /usr/local/acme.sh/refresh_https.sh