永久免费的https/tls通配符域名证书申请很简单,不要在自签证书啦¶
HTTPS保障数据传输安全¶
当前的互联网中信息数据交换通过过网络传输,早期的 HTTP 协议在传输数据时时明文的,即数据包流过的链路上都可以抓取数据,并查看数据内容,甚至是修改数据内容,这是不安全。
对数据在链路传输时进行加密,在日常访问网站域名地址时看到的 https://cncfstack.com 就是启动了 https,浏览器会提示“连接是安全的”。而且浏览器对与没有使用 https 的网站会提示安全风险,甚至直接限制用户访问。
网站使用 https 时,需要有一个 HTTPS/TLS 证书,这个证书是有证书颁发机构(即CA)基于CA证书签发的,而且CA厂商基于私钥KEY给自己签发CA证书会默认预置在各个操作系统和浏览器中。
CA 厂商维护的证书私钥 KEY 是最核心的资产,如果 CA 的 KEY 泄漏了,这个 CA 厂商的安全保护能力就会判断不足以提供安全保障。 操作系统和浏览器维护者就会移除他们的CA证书,这个CA机构基本就算倒闭不远了,典型案例就是荷兰的DigiNota 。
收费CA机构如DigiCert、GlobalSign、Sectigo等。目前免费证书的CA厂商主要有 ZeroSSL 和 Let‘s Encrypt 两家提供
HTTPS证书申请客户端工具选择¶
目前 ZeroSSL 和 Let‘s Encrypt 提供基于 ACME 的协议来进行证书的申请和签发,开发一款新的 ACME 协议的客户端并不是什么复杂的事情。但是,目前已经有许多客户端了,而且比较成熟了,一般情况下没有必要在重新开发新的客户端。
支持 ACME 协议的开源客户端有很多,不同的语言和平台有着许多工具,可以根据自己的需求选择 ACME 客户端:https://letsencrypt.website.cncfstack.com/zh-cn/docs/client-options/
本文使用 acme.sh 这个客户端工具,它可以同时支持 ZeroSSL 和 Let‘s Encrypt 的证书签发。在国内可以通过藏云阁源码仓库获取 https://gitea.cncfstack.com/acmesh-official/acme.sh
acme.sh 初次注册申请证书¶
步骤一:获取 acme.sh¶
获取 acme.sh 主要是下载该项目的代码仓库,该仓库中包含了 acme.sh 脚本以及相关的依赖配置。
可以通过在线下载 zip 包,或者 git clone 的方式获取该仓库
git clone https://github.com/acmesh-official/acme.sh
或
git clone https://gitea.cncfstack.com/acmesh-official/acme.sh
步骤二:安装 acme.sh¶
脚本安装会将相关工具安装到 ~/.acme.sh/ 目录中,后续生成的证书默认也会保存在该目录中。
普通用户和 root 用户都可以安装使用。
# 方式1: 通过仓库的脚本安装
./acme.sh --install -m youremail@example.com
# 方式2: 通过官网的域名安装
curl https://get.acme.sh | sh -s email=youremail@example.com
安装过程还创建了一个 alias 和添加 crontab 任务。
- 创建一个 shell 的 alias,例如
.bashrc,方便你的使用:alias acme.sh=~/.acme.sh/acme.sh - 自动创建 cronjob, 每天 0:00 点自动检测所有的证书,如果快过期了,需要更新,则会自动更新证书。
安装过程不会污染已有的系统任何功能和文件,所有的修改都限制在安装目录中: ~/.acme.sh/
注意
如果安装完成后提示 -bash: acme.sh: command not found,需要手动执行 source ~/.bashrc
步骤三:选择 CA¶
acme.sh 脚本默认 CA 服务器是 ZeroSSL,在使用 ZeroSSL 时需要通过邮箱注册一下账号。
注册 ZeroSSL 账号命令
有时可能会导致获取证书的时候一直出现:Pending,The CA is processing your order,please just wait.
只需要把 CA 服务器改成 Let's Encrypt 即可,虽然更改以后还是有概率出现 pending,但基本 2-3 次即可成功
步骤四:域名拥有权验证与证书签发¶
acme.sh 实现了 acme 协议支持的所有验证协议。一般有两种方式验证: HTTP 和 DNS 验证。 推荐使用 方案3: 自动DNS验证 的验证方式。
方案1: 直接签发
直接签发 HTTP 验证的核心思路是在网站运行的服务器上,在网站的根目录中创建一个验证文件,通过域名+验证文件的方式进行请求判断来验证域名是否属于当前操作者。
验证完成后会删除该验证文件,对网站不会产生副作用。
方案2: 手动DNS 验证
如果你没有服务器,没有公网 IP,只需要 DNS 的解析记录即可完成验证。
这需要你手动在域名上添加一条 TXT 解析记录,验证域名所有权。
注意
如果使用手动验证,acme.sh 将无法自动更新证书,每次都需要手动添加解析来验证域名所有权。如果有自动更新证书的需求,请使用自动验证(DNS API)。
然后,acme.sh 会生成相应的解析记录显示出来,你只需要在你的域名管理面板中添加这条 TXT 记录即可。
等待解析完成之后,执行以下命令重新生成证书:
注意这里现在用的是 --renew 参数
方案3: 自动DNS验证
DNS 方式的真正便捷之处在于可以使用域名解析商提供的 API 自动添加 TXT 记录,且在完成验证后删除对应的记录。
acme.sh 目前支持超过一百家的 DNS API。支持的DNS厂商和配置KEY名称:https://github.com/acmesh-official/acme.sh/wiki/dnsapi
本文的域名托管在阿里云,使用阿里云的DNS解析服务。在阿里云RAM中创建一对 AKSK 密钥 https://ram.console.aliyun.com/users
然后将密钥保存在account.conf 文件中
然后开始执行域名名验和申请了
执行后就会自动执行域名的验证,证书的申请和签发
注意
中国区用户,在shell脚本中最好添加 export TZ='Asia/Shanghai' ,不然日志文件会有时差问题。
步骤五:复制证书¶
证书生成好以后,我们需要把证书复制给对应的 Apache、Nginx 或其他服务器去使用。
推荐使用 --install-cert 命令来把证书复制到目标文件,请勿直接使用 ~/.acme.sh/ 目录下的证书文件(由于证书需要部署到其他云场景,也可以直接复制使用),这里面的文件都是内部使用,而且目录结构将来可能会变化。
Apache 示例:
acme.sh --install-cert -d example.com \
--cert-file /path/to/certfile/in/apache/cert.pem \
--key-file /path/to/keyfile/in/apache/key.pem \
--fullchain-file /path/to/fullchain/certfile/apache/fullchain.pem \
--reloadcmd "service apache2 force-reload"
Nginx 示例:
acme.sh --install-cert -d example.com \
--key-file /path/to/keyfile/in/nginx/key.pem \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd "service nginx reload"
Nginx 的配置项 ssl_certificate 需要使用 /etc/nginx/ssl/fullchain.cer,而非 /etc/nginx/ssl/<domain>.cer,否则 SSL Labs 的测试会报证书链问题(Chain issues Incomplete)。
默认情况下,证书每 60 天更新一次(可自定义)。更新证书后,Apache 或者 Nginx 服务会通过 reloadcmd 传递的命令自动重载配置。
注意:reloadcmd 非常重要。证书会自动申请续签,但是如果没有正确的 reloadcmd 命令,证书可能无法被重新应用到 Apache 或者 Nginx,因为配置没有被重载。
查看已安装证书信息¶
会输出如下内容:
DOMAIN_CONF=/root/.acme.sh/example.com/example.com.conf
Le_Domain=example.com
Le_Alt=no
Le_Webroot=dns_ali
Le_PreHook=
Le_PostHook=
Le_RenewHook=
Le_API=https://acme-v02.api.letsencrypt.org/directory
Le_Keylength=
Le_OrderFinalize=https://acme-v02.api.letsencrypt.org/acme/finalize/23xxxx150/781xxxx4310
Le_LinkOrder=https://acme-v02.api.letsencrypt.org/acme/order/233xxx150/781xxxx4310
Le_LinkCert=https://acme-v02.api.letsencrypt.org/acme/cert/04cbd28xxxxxx349ecaea8d07
Le_CertCreateTime=1649358725
Le_CertCreateTimeStr=Thu Apr 7 19:12:05 UTC 2022
Le_NextRenewTimeStr=Mon Jun 6 19:12:05 UTC 2022
Le_NextRenewTime=1654456325
Le_RealCertPath=
Le_RealCACertPath=
Le_RealKeyPath=/etc/acme/example.com/privkey.pem
Le_ReloadCmd=service nginx force-reload
Le_RealFullChainPath=/etc/acme/example.com/chain.pem
续签证书¶
证书有效期为 90 天。 acme.sh 可以每 60 天自动更新,无需任何操作。
也可以强制续签证书:
例如藏云阁网站域名 cncfstack.com 的续签
[root@localhost ~]# acme.sh --renew -d cncfstack.com -d *.cncfstack.com --force
[2025年 05月 11日 星期日 17:11:15 CST] The domain 'cncfstack.com' seems to already have an ECC cert, let's use it.
[2025年 05月 11日 星期日 17:11:15 CST] Renewing: 'cncfstack.com'
[2025年 05月 11日 星期日 17:11:15 CST] Renewing using Le_API=https://acme.zerossl.com/v2/DV90
[2025年 05月 11日 星期日 17:11:16 CST] Using CA: https://acme.zerossl.com/v2/DV90
[2025年 05月 11日 星期日 17:11:16 CST] Multi domain='DNS:cncfstack.com,DNS:*.cncfstack.com'
[2025年 05月 11日 星期日 17:11:34 CST] Getting webroot for domain='cncfstack.com'
[2025年 05月 11日 星期日 17:11:34 CST] Getting webroot for domain='*.cncfstack.com'
[2025年 05月 11日 星期日 17:11:34 CST] Adding TXT value: DcAgJJMBeXqOyubTsJIWzN5ISit6KS2ZdNPOhB_stxA for domain: _acme-challenge.cncfstack.com
[2025年 05月 11日 星期日 17:11:37 CST] The TXT record has been successfully added.
[2025年 05月 11日 星期日 17:11:37 CST] Adding TXT value: uWuXNjSdpWRym42C0Nxb_0NbUa-sKg3s3PPEKQbWwdw for domain: _acme-challenge.cncfstack.com
[2025年 05月 11日 星期日 17:11:40 CST] The TXT record has been successfully added.
[2025年 05月 11日 星期日 17:11:40 CST] Let's check each DNS record now. Sleeping for 20 seconds first.
[2025年 05月 11日 星期日 17:12:01 CST] You can use '--dnssleep' to disable public dns checks.
[2025年 05月 11日 星期日 17:12:01 CST] See: https://github.com/acmesh-official/acme.sh/wiki/dnscheck
[2025年 05月 11日 星期日 17:12:01 CST] Checking cncfstack.com for _acme-challenge.cncfstack.com
[2025年 05月 11日 星期日 17:12:02 CST] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 35
[2025年 05月 11日 星期日 17:12:12 CST] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 28
[2025年 05月 11日 星期日 17:12:12 CST] Success for domain cncfstack.com '_acme-challenge.cncfstack.com'.
[2025年 05月 11日 星期日 17:12:12 CST] Checking cncfstack.com for _acme-challenge.cncfstack.com
[2025年 05月 11日 星期日 17:12:12 CST] Success for domain cncfstack.com '_acme-challenge.cncfstack.com'.
[2025年 05月 11日 星期日 17:12:12 CST] All checks succeeded
[2025年 05月 11日 星期日 17:12:12 CST] Verifying: cncfstack.com
[2025年 05月 11日 星期日 17:12:20 CST] Processing. The CA is processing your order, please wait. (1/30)
[2025年 05月 11日 星期日 17:12:29 CST] Success
[2025年 05月 11日 星期日 17:12:29 CST] Verifying: *.cncfstack.com
[2025年 05月 11日 星期日 17:12:32 CST] Processing. The CA is processing your order, please wait. (1/30)
[2025年 05月 11日 星期日 17:12:36 CST] Success
[2025年 05月 11日 星期日 17:12:36 CST] Removing DNS records.
[2025年 05月 11日 星期日 17:12:36 CST] Removing txt: DcAgJJMBeXqOyubTsJIWzN5ISit6KS2ZdNPOhB_stxA for domain: _acme-challenge.cncfstack.com
[2025年 05月 11日 星期日 17:12:40 CST] Successfully removed
[2025年 05月 11日 星期日 17:12:40 CST] Removing txt: uWuXNjSdpWRym42C0Nxb_0NbUa-sKg3s3PPEKQbWwdw for domain: _acme-challenge.cncfstack.com
[2025年 05月 11日 星期日 17:12:43 CST] Successfully removed
[2025年 05月 11日 星期日 17:12:43 CST] Verification finished, beginning signing.
[2025年 05月 11日 星期日 17:12:43 CST] Let's finalize the order.
[2025年 05月 11日 星期日 17:12:43 CST] Le_OrderFinalize='https://acme.zerossl.com/v2/DV90/order/9oSoWas2pzOqCn2r4x6dYA/finalize'
[2025年 05月 11日 星期日 17:12:47 CST] Order status is 'processing', let's sleep and retry.
[2025年 05月 11日 星期日 17:12:47 CST] Sleeping for 15 seconds then retrying
[2025年 05月 11日 星期日 17:13:03 CST] Polling order status: https://acme.zerossl.com/v2/DV90/order/9oSoWas2pzOqCn2r4x6dYA
[2025年 05月 11日 星期日 17:13:04 CST] Downloading cert.
[2025年 05月 11日 星期日 17:13:04 CST] Le_LinkCert='https://acme.zerossl.com/v2/DV90/cert/DY2_aoSL66MxOZngG80o2Q'
[2025年 05月 11日 星期日 17:13:05 CST] Cert success.
-----BEGIN CERTIFICATE-----
MIIEDjCCA5OgAwIBAgIQDxDuiIsvck6TFvR6zUp3DAKBggqhkjOPQQDAzBLMQsw
CQYDVQQGEwJBVDEQMA4GA1UEChMHWmVyb1NTTDEqMCgGA1UEAxMhWmVyb1NTTCBF
******
wZ3A/avNZTIBIB/fxqyZA2NiJNopcEQioQX2Dwp94wIxAIc12NCpZzRQRbmOO1n1
mFVBAFS6iSdSXvzARyznUStB0sW9YuQtn55fN/gzmvMP+A==
-----END CERTIFICATE-----
[2025年 05月 11日 星期日 17:13:05 CST] Your cert is in: /root/.acme.sh/cncfstack.com_ecc/cncfstack.com.cer
[2025年 05月 11日 星期日 17:13:05 CST] Your cert key is in: /root/.acme.sh/cncfstack.com_ecc/cncfstack.com.key
[2025年 05月 11日 星期日 17:13:05 CST] The intermediate CA cert is in: /root/.acme.sh/cncfstack.com_ecc/ca.cer
[2025年 05月 11日 星期日 17:13:05 CST] And the full-chain cert is in: /root/.acme.sh/cncfstack.com_ecc/fullchain.cer
检查网站生效¶
在证书部署到网站后,可以通过浏览器查看证书是否生效
也可以查看证书的详细信息
