[写在前面]
acme.sh 实现了 acme 协议,可以从 let's encrypt 生成免费的证书。
官方说明文档请参见:https://github.com/Neilpang/acme.sh/wiki
1. 环境 & 准备工作
操作系统
本篇博文以CentOS 7为例。域名解析
说明
博主使用阿里云提供的DNS解析,采用其他解析方式的童鞋请参照官方说明文档进行操作。
acme.sh 采用 API 调用的方式自动添加/删除DNS解析,所以需要提供具有管理云解析(DNS)的权限的阿里云账号 AccessKey 与 AccessKeySecret。如何获取 AccessKey
A. 进入阿里云控制台网页版,将鼠标悬停到头像上弹出下拉框,并在下拉框中选择访问控制(根据阿里云安全最佳实践,请避免直接使用具有完整管理权限的AccessKey,而改用具有特定权限(此处需要管理云解析(DNS)的权限)的RAM子用户AccessKey来进行API调用)。
B. 在访问控制面板中找到用户管理,新建用户(注意勾选为该用户自动生成AccessKey),并妥善保存AccessKey信息。
C. 为刚才新建的用户授予管理云解析(DNS)的权限。
2. 安装 acme.sh
注:本篇博文以通过 git 的方式安装 acme.sh 为例进行说明,更多详细安装方法请参见 https://github.com/Neilpang/acme.sh/wiki/How-to-install
# 安装git
$ sudo yum install -y git
# 安装acme.sh到目录/opt/acme (安装目录可自行决定)
$ sudo git clone https://github.com/Neilpang/acme.sh.git /opt/acme
3. 编写并执行生成证书的脚本文件
- 编写脚本文件
注:
A. 编写脚本文件是为了方便后续为证书续期(签署一次证书有效期为90天,有了脚本文件,只需执行脚本就可以完成续期)。
B. 下方所签署的证书为ECC 256位证书,若签署RSA证书,可删除--keylength ec-256 \一行,默认签署RSA 2048位证书。
#!/bin/sh
# acme.sh安装目录
export HOME=/opt/acme/
# 阿里云AccessKey
export Ali_Key="your_access_key"
# 阿里云AccessKeySecret
export Ali_Secret="your_access_key_secret"
# 为域名lary.me签署通配符证书,并将公私钥导出到/var/ssl/目录下
/opt/acme/acme.sh --issue \
--dns dns_ali \
-d *.lary.me -d lary.me \
--fullchain-file /var/ssl/lary.me.crt \
--key-file /var/ssl/lary.me.key \
--keylength ec-256 \
--debug \
--force
- 执行脚本签署证书
注:请确保脚本文件具有可执行权限(博主将脚本文件保存至 /home/lary/acme/acme-lary.me.sh)。
# 文件授权
$ sudo chmod +x /home/lary/acme/acme-lary.me.sh
# 执行脚本生成证书(执行脚本时会通过API验证域名解析,耗时120s)
$ sudo sh /home/lary/acme/acme-lary.me.sh
4. 设置定时任务自动为证书续期
- 使用 crontab 命令设置定时任务
注:由于我选择将证书导出到 /var/ssl/ 目录下,需要管理员权限,所以使用sudo crontab -e命令(使用 root 的 crontab)设置定时任务。关于在 crontab 中使用 sudo ,请参见这篇回答:https://askubuntu.com/questions/173924/how-to-run-a-cron-job-using-the-sudo-command
# 打开并修改root的crontab
$ sudo crontab -e
# 设置每月1号凌晨3点钟自动为证书续期
> 0 3 1 * * /home/lary/acme/acme-lary.me.sh
# 设置crond服务自启
$ sudo systemctl enable crond
# 重启crond服务
$ sudo systemctl restart crond
* 如果你的脚本文件中,设置将证书导出到无需 root 权限的目录(如用户目录),那可以参见下述方法设置定时任务:
# 修改/etc/crontab以设置定时任务
$ sudo vi /etc/crontab
# 设置每月1号凌晨3点钟自动为证书续期(crontab简介请参见下方)
> 0 3 1 * * lary /home/lary/acme/acme-lary.me.sh
# 设置crond服务自启
$ sudo systemctl enable crond
# 重启crond服务
$ sudo systemctl restart crond
crontab 命令简介
crontab命令用于设置周期性被执行的指令。该命令从标准输入设备读取指令,并将其存放于“crontab”文件中,以供之后读取和执行。
每一个用户都可以有一个crontab文件来保存调度信息。系统管理员可以通过cron.deny 和 cron.allow 这两个文件来禁止或允许。
通常,crontab储存的指令被守护进程激活,crond常常在后台运行,每一分钟检查是否有预定的作业需要执行,这类作业一般称为cron jobs。
crontab 命令格式
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * user-name command to be executed
crontab 命令特殊符号
星号(*):代表所有可能的值,例如month字段如果是星号,则表示在满足其它字段的制约条件后每月都执行该命令操作。
逗号(,):可以用逗号隔开的值指定一个列表范围,例如,“1,2,5,7,8,9”。
横杠(-):可以用整数之间的中杠表示一个整数范围,例如“2-6”表示“2,3,4,5,6”。
斜线(/):可以用正斜线指定时间的间隔频率,例如“0-23/2”表示每两小时执行一次。同时正斜线可以和星号一起使用,例如*/10,如果用在minute字段,表示每十分钟执行一次。
crontab 命令全局配置文件
cron.d
系统自动定期需要做的任务cron.daily
每天执行一次的任务cron.deny
用于控制不让哪些用户使用 crontab 的功能cron.hourly
每小时执行一次的任务cron.monthly
每月执行一次的任务crontab
设定定时任务执行文件cron.weekly
每星期执行一次的任务
