众所周知的免费SSL证书互联网TOP公司参与,全开源免费。刚开始使用180天免费,到期我重续又180天,到现在90天,更新频率算是最高的一个。不多说了,此文章只为小白学者使用,大拿请略过。
#安装 acme.sh curl https://get.acme.sh | sh #安装脚本将所有的文件安装到 ~/.acme.sh/目录下,并自动创建一个定时任务,每天0:00自动检测所有的证书,如果过期了就会自动更新证书。
#目录验证 acme.sh --issue -d www.tuterm.com -d *.pigcc.vip --webroot /www/wwwroot/www.tuterm.com/ #nginx验证 acme.sh --issue -d www.tuterm.com --nginx #临时web验证 acme.sh --issue -d www.tuterm.com --standalone
小白用户推荐DNS方式生成证书安装,安全意识不高可能泄露一些key,导致被人恶意使用。
#开启自动更新 acme.sh --upgrade --auto-upgrade #关闭自动更新 acme.sh --upgrade --auto-upgrade 0
#手动重续证书,--force为强制更新 acme.sh --renew --force -d www.tuterm.com
#解析参数生成dhparam,路径为本机ngix安装的配置目录 openssl dhparam -out /etc/nginx/conf.d/key/www.tuterm.com/dhparam.pem 2048
#安装证书,路径为本机ngix安装的配置目录;使用方法安装证书,方便每次更新后自动安装到目标配置下,如手动拷贝等方法不会自动更新安装。 acme.sh --installcert -d www.tuterm.com \ --key-file /etc/nginx/conf.d/key/www.tuterm.com.key \ --fullchain-file /etc/nginx/conf.d/key/fullchain.cer \ --reloadcmd "service nginx force-reload"
Nginx配置文件合并请添加,路径为本机ngix安装的配置目录
server { listen 443 ssl http2; ssl_certificate /etc/nginx/conf.d/key/www.tuterm.com/fullchain.cer; ssl_certificate_key /etc/nginx/conf.d/key/www.tuterm.com/www.tuterm.com.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_ciphers "TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5"; ssl_session_cache builtin:1000 shared:SSL:10m; ssl_dhparam /etc/nginx/conf.d/key/www.tuterm.com/dhparam.pem;
好了,基本使用就介绍到这里,这是Letsencrypt证书最方便的工具了,实用才是最好的。