先決條件：首先我們需要有一個域名和一臺有公網(wǎng)IP的服務(wù)器

安裝acme.sh

curl  https://get.acme.sh | sh

啟用別名

source ~/.bashrc 

說明：

acme.sh 會安裝到 ~/.acme.sh 目錄下。安裝成功后執(zhí)行 source ~/.bashrc 以確保腳本所設(shè)置的命令別名生效。

說明：普通用戶和 root 用戶都可以安裝使用. 安裝過程進(jìn)行了以下幾步:

1.把 acme.sh 安裝到你的 home 目錄下: ~/.acme.sh/ ，并創(chuàng)建 一個 shell 的 alias, 例如 .bashrc，方便你的使用: alias acme.sh=~/.acme.sh/acme.sh

2.自動為你創(chuàng)建 cronjob, 每天 0:00 點自動檢測所有的證書, 如果快過期了, 需要更新, 則會自動更新證書。

查看幫助信息

acme.sh -h

卸載acme.sh

acme.sh --uninstall

切換CA機(jī)構(gòu)

acme.sh --set-default-ca --server letsencrypt

說明：

acme.sh 支持四個正式環(huán)境 CA，分別是 Let’s Encrypt、Buypass、ZeroSSL 和 SSL.com，默認(rèn)使用 ZeroSSL。

生成證書

acme.sh --issue -d example.com --standalone --keylength ec-256 --force

說明：

1. --standalone 模式下默認(rèn)使用80端口，如果80端口被占用，添加 --httpport 參數(shù)使用80以外的端口

2.  --keylength表示密鑰長度，后面的值可以是 ec-256 、ec-384、2048、3072、4096、8192，帶有 ec 表示生成的是 ECC 證書，沒有則是 RSA 證書。在安全性上 256 位的 ECC 證書等同于 3072 位的 RSA 證書。

3.  生成的證書將放置在~/.acme.sh/example.com/ 目錄下：

4. 當(dāng)前證書剩余有效期在30天以上時重新生成證書，需要使用--force參數(shù)

5.  建議在生成證書的時候添加 --staging  使用測試環(huán)境測試，不明白可參見后面的速率限制

更新證書

acme.sh --renew -d example.com

如果是ecc證書：

acme.sh --renew -d example.com --ecc

說明：

默認(rèn)情況下acme.sh會自動更新即將過期的證書.可以不用手動更新

如果要更新有效期大于30天的，使用--force參數(shù)

部署證書

acme.sh --install-cert -d example.com

--key-file           /path/to/keyfile/in/nginx/key.pem 

--fullchain-file        /path/to/fullchain/nginx/cert.pem

--reloadcmd     "service nginx force-reload"

說明：

        其實就是拷貝證書到指定位置，生成的證書的目錄供acme.sh內(nèi)部使用

查看已經(jīng)生成的證書：

acme.sh --list

查看debug：

acme.sh  --issue  .....  --debug

查看error：

acme.sh  --issue  .....  --debug  2

生成日志：

acme.sh  --issue  .....  --log

使用測試環(huán)境

--staging

說明：

日志文件路徑為：~/.acme.sh/acme.sh.log

速率限制

重復(fù)證書限制

 概述： 

所有簽發(fā)請求均受每周 5 個重復(fù)證書的限制。 當(dāng)您超出重復(fù)證書限制時，您應(yīng)該會從 ACME 客戶端收到如下錯誤消息：

too many certificates (5) already issued for this exact set of domains in the
last 168 hours: example.com login.example.com: see https://letsencrypt.org/docs/duplicate-certificate-limit        

此錯誤所指的“確切集”是為此證書請求的主機(jī)名集：在此示例中，example.com 和 login.example.com。 如果您的證書僅針對 1 個名稱（例如 example.com）頒發(fā)，那么您的證書的主機(jī)名“確切集”將是 [example.com]。 當(dāng)訂閱者在一周內(nèi)為相同的“確切集”主機(jī)名請求證書超過 5 次時，就會超出此速率限制。

解決方法：

撤銷先前發(fā)布的證書將不會重置重復(fù)證書限制。 然而，仍然存在著這種情況。 如果您發(fā)現(xiàn)您已經(jīng)超過了上限并且您仍然需要另一個證書來獲取相同的主機(jī)名，您總是可以要求一個不同的主機(jī)名“確切集”的證書。 例如，如果您超出了 [example.com] 的重復(fù)證書限制，那么為 [example.com, login.example.com] 請求證書將會成功。 同樣，如果您超出了 [example.com, login.example.com]的重復(fù)證書限制，那么為 [example.com] 申請一個單獨的證書，為 [login.example.com] 申請另一個證書將會成功。

失敗驗證限制

概述：

所有頒發(fā)請求都受到每個帳戶、每個主機(jī)名、每小時 5 次失敗的驗證失敗限制。 并且無法豁免。當(dāng)您超過失敗驗證限制時，您會從您的ACME客戶端收到以下錯誤消息：

too many failed authorizations recently: see https://letsencrypt.org/docs/failed-validation-limit/

此錯誤所指的“授權(quán)”是您的 ACME 客戶端發(fā)送的授權(quán)請求的結(jié)果，用于在我們頒發(fā)或更新證書之前驗證對域名的控制。 此錯誤表示多個驗證請求已成功發(fā)送，但所有驗證嘗試均失敗。

測試環(huán)境速率限制

測試環(huán)境使用與生產(chǎn)環(huán)境類似的速率限制，但具體數(shù)據(jù)有所變化：

• 每個注冊域名允許頒發(fā)的證書數(shù)量限制為每周 30000 張。
• 重復(fù)證書限制為每周 30000 張。
• 每小時允許 60 次驗證失敗。
• 每個 IP 地址注冊賬戶數(shù)量限制為每個 IP 每 3 小時允許注冊 50 個賬戶。
• 對于 ACME v2，新訂單限制為每個帳戶每 3 小時 1500 個。

Let's Encrypt官網(wǎng)：

Let's Encrypt - 免費的SSL/TLS證書 (letsencrypt.org)

acme.sh項目地址：

acmesh-official/acme.sh: A pure Unix shell script implementing ACME client protocol (github.com)

到此這篇關(guān)于acme.sh注冊免費的ssl證書的文章就介紹到這了,更多相關(guān)acme.sh免費ssl證書內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論