净化工程 技术支持 东莞网站建设,德化网站建设,装潢公司网站模块,节水网站建设使用 acme.sh 申请域名 SSL/TLS 证书完整指南 简介为什么选择 acme.sh 和 ZeroSSL#xff1f;前置要求安装过程 步骤一#xff1a;安装 acme.sh步骤二#xff1a;配置 ZeroSSL 证书申请 方法一#xff1a;手动 DNS 验证#xff08;推荐新手使用#xff09;方法二#xf…使用 acme.sh 申请域名 SSL/TLS 证书完整指南 简介为什么选择 acme.sh 和 ZeroSSL前置要求安装过程 步骤一安装 acme.sh步骤二配置 ZeroSSL 证书申请 方法一手动 DNS 验证推荐新手使用方法二自动 DNS API 验证 证书安装和管理 步骤一创建 SSL 目录步骤二安装证书步骤三配置 Nginx步骤四测试并重启 Nginx 证书文件说明自动续期验证过程故障排除提示安全最佳实践总结
使用 acme.sh 申请域名 SSL/TLS 证书完整指南 简介
本指南将详细介绍如何使用 acme.sh 配合 ZeroSSL 获取和管理 SSL/TLS 证书。我们将以 cheungxiongwei.com 为例介绍从安装到自动续期的完整过程包括根域名和泛域名证书的配置。
为什么选择 acme.sh 和 ZeroSSL
免费无限证书可以免费生成无限数量的90天 SSL 证书支持泛域名使用单个证书即可保护无限数量的子域名自动化管理内置证书续期和部署功能多域名支持可同时为多个域名颁发证书账户集成所有证书都存储在您的 ZeroSSL 账户中
前置要求
一台具有 root 访问权限的 Linux 服务器已注册的域名基本的命令行使用知识域名 DNS 设置的访问权限
安装过程
步骤一安装 acme.sh
curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version步骤二配置 ZeroSSL
设置 ZeroSSL 为默认证书颁发机构
acme.sh --set-default-ca --server zerossl设置 ZeroSSL EAB外部账户绑定凭证
访问 ZeroSSL 控制面板生成 EAB 凭证配置凭证
export ZERO_EAB_KEY你的_eab_key
export ZERO_EAB_HMAC你的_eab_hmac证书申请
方法一手动 DNS 验证推荐新手使用
启动证书申请
acme.sh --issue --dns -d cheungxiongwei.com -d *.cheungxiongwei.com --yes-I-know-dns-manual-mode-enough-go-ahead-please添加 DNS TXT 记录
记录类型主机记录记录值TXT_acme-challenge[提供的值]TXT_acme-challenge.*[提供的值]
验证 DNS 解析
dig TXT _acme-challenge.cheungxiongwei.com
dig TXT _acme-challenge.*.cheungxiongwei.com完成证书颁发
acme.sh --renew -d cheungxiongwei.com -d *.cheungxiongwei.com --yes-I-know-dns-manual-mode-enough-go-ahead-please方法二自动 DNS API 验证
配置 DNS API 凭证以 DNSPod 为例
export DP_IdAPI_ID
export DP_KeyAPI_KEY颁发证书
acme.sh --issue --dns dns_dp -d cheungxiongwei.com -d *.cheungxiongwei.com证书安装和管理
步骤一创建 SSL 目录
sudo mkdir -p /etc/ssl/cheungxiongwei.com步骤二安装证书
acme.sh --install-cert -d cheungxiongwei.com \
--key-file /etc/ssl/cheungxiongwei.com/cheungxiongwei.com.key \
--fullchain-file /etc/ssl/cheungxiongwei.com/fullchain.cer \
--reloadcmd systemctl reload nginx步骤三配置 Nginx
server {listen 443 ssl;server_name cheungxiongwei.com *.cheungxiongwei.com;ssl_certificate /etc/ssl/cheungxiongwei.com/fullchain.cer; # 使用完整证书链ssl_certificate_key /etc/ssl/cheungxiongwei.com/cheungxiongwei.com.key; # 使用私钥文件ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers HIGH:!aNULL:!MD5;root /var/www/cheungxiongwei.com;index index.html;location / {try_files $uri $uri/ 404;}
}server {listen 80;server_name cheungxiongwei.com *.cheungxiongwei.com;return 301 https://$host$request_uri;
}步骤四测试并重启 Nginx
sudo nginx -t
sudo systemctl restart nginx证书文件说明
fullchain.cer完整的证书链用于服务器配置cheungxiongwei.com.key私钥需要安全保管ca.cer中间证书cheungxiongwei.com.cer域名证书
自动续期
acme.sh 包含内置的 cron 任务每天检查证书续期。我们之前使用的 --install-cert 命令已经配置了自动续期并重载 Nginx。
验证过程
检查 HTTPS 连接访问 https://cheungxiongwei.com验证泛域名证书测试任意子域名如 https://www.cheungxiongwei.com在浏览器中检查证书详情
故障排除提示
如果 DNS 验证失败等待 10-15 分钟让解析生效检查 Nginx 错误日志sudo tail -f /var/log/nginx/error.log验证 Nginx 配置中的证书路径确保 SSL 证书文件权限正确
安全最佳实践
确保私钥安全并做好备份仅使用 TLS 1.2 和 1.3 版本定期监控证书过期时间维护证书文件的安全备份使用强加密的 SSL 密码配置
总结
现在您的域名已经配置了完整的根域名和泛域名 SSL 证书保护。该设置包括自动续期和优化的 Nginx 安全配置。建议定期使用在线 SSL 测试工具检查 SSL 配置以确保符合最佳实践和安全更新。
