使用acme.sh搞个免费SSL证书
按:Acme.sh 是一个开源的脚本,能够从 ZeroSSL、Let’s Encrypt 等证书颁发机构(CA)获取免费的 HTTPS 证书。该脚本简单易用,并且支持多种验证方式。
1. 安装 acme.sh
$ curl https://get.acme.sh | sh -s email=cy@ifyr.com
会自动安装在 ~/.acme.sh/ 目录
建议执行一下 source ~/.bashrc,使 alias acme.sh=~/.acme.sh/acme.sh 启用。
2.注册一个ZeroSSL账户
注册:https://app.zerossl.com/signup
获取账户EAB凭证:https://app.zerossl.com/developer
注意复制保存下来EAB KID和EAB HMAC Key用于注册ACME账户
3.注册ACME帐户
$ acme.sh --register-account --server zerossl --eab-kid "EAB KID" --eab-hmac-key "EAB HMAC Key"
4.切换默认CA为ZeroSSL
$ acme.sh --set-default-ca --server zerossl
5.导入阿里云api秘钥
$ export Ali_Key="你的阿里云api key"
$ export Ali_Secret="你的阿里云api 秘钥"
6.申请证书
$ acme.sh --issue --dns dns_ali -d *.ifyr.com -d ifyr.com --force
7.安装证书
$ acme.sh --install-cert -d ifyr.com --key-file ~/.acme.sh/ifyr.com_ecc/ifyr.com.key --fullchain-file ~/.acme.sh/ifyr.com_ecc/fullchain.cer --reloadcmd "service nginx reload"
8.查看证书信息
$ acme.sh --info -d ifyr.com
9.更新证书
证书每60天自动更新,无需用户手动操作(在crontab里,但还没验证)。
也可以强制更新命令重新续签证书:
$ acme.sh --renew -d ifyr.com --force
10.修改reloadcmd
在~/.acme.sh/ifyr.com_ecc/ifyr.com.conf 文件中,用 Base64 编码保存了 reloadcmd。
理论上,可以直接编辑此文件并解码修改,但该方法官方不推荐。
11.更新 Acme.sh
$ acme.sh --upgrade
自动更新:$ acme.sh --upgrade --auto-upgrade
关闭自动更新:$ acme.sh --upgrade --auto-upgrade 0
第一次听说 ZeroSSL,了解下~
主要是Let’s Encrypt的证书Edge不承认了,只好换一个。
噢?这个 Blog 的证书也是 LE 的,访问有问题吗?https://blog.sinzy.org/
blog.sinzy.net 用的是 PC 做的 AWS CloudFront 的证书,上面那个 .org 是原始证书。
你的连接不是专用连接
攻击者可能试图从 blog.sinzy.org 窃取你的信息(例如,密码、消息或信用卡)。详细了解此警告
net::ERR_CERT_AUTHORITY_INVALID