Let'sEncrypt快速頒發及自動續簽泛域名證書實踐指南

目錄

• 0x00 前言簡述
• 0x01 快速安裝配置
  • 1.acme.sh
• 0x02 證書自動簽發實踐
  • 1.acme.sh + Cloudflare 實現自動簽發泛域名證書。
• 0x03 使用實例
  • 1.簡單示例
  • 2.擴展補充
• 0x04 入坑出坑
  • 1.Cloudflare 的API 不技持 .cf, .ga, .gq, .ml, or .tk 的域名申請證書
• 0x04 其它參考

0x00 前言簡述

描述: Let's Encrypt 是免費、開放和自動化的證書頒發機構由Linux基金會(Linux Foundation)進行日常管理維護，它為1.8億個網站提供TLS證書的非盈利性證書頒發機構, 通過它我們可以免費申請網站證書，並您的網站上啟用 HTTPS (SSL/TLS) 提供支持。

前置需求:

• 域名所有者 : Let’s Encrypt 是一個證書頒發機構（CA）, 要從 Let’s Encrypt 獲取您網站域名的證書，您必須證明您對域名的實際控制權。
• ACME 協議軟件 : 在Let’s Encrypt 使用 ACME 協議來驗證您對給定域名的控制權並向您頒發證書, 要從Let’s Encrypt 獲得證書，您需要選擇一個要使用的 ACME 客戶端軟件。 例如官方推薦的客戶端 Certbot 、或者使用得最多的 acme.sh

參考來源
Let's Encrypt 網站: https://letsencrypt.org/
ACME 協議客戶端: https://letsencrypt.org/zh-cn/docs/client-options/
acme.sh WIKI: https://wiki.acme.sh
certbot Github: https://github.com/certbot/certbot

原文地址: https://blog.weiyigeek.top/2022/3-11-589.html

0x01 快速安裝配置

1.acme.sh

描述: 此處我們采用 acmesh-official 提供的 acme.sh 項目來快速搭建證書自動頒發、續簽證書，其使用簡單、強大且非常易於使用，它純粹用 Shell（Unix shell）語言編寫的 ACME 協議客戶端，安裝方式主要有二進制文件或者是acme.sh💕碼頭工人(https://github.com/acmesh-official/acme.sh/wiki/Run-acme.sh-in-docker)。

溫馨提示: 簽發的證書有效期為60天，我們可以設置cron 作業以檢查和更新證書，通常證書將每60天自動更新一次。

快速安裝:
安裝參考地址: https://github.com/acmesh-official/acme.sh/wiki/How-to-install

# 從 git 安裝 acme
git clone https://github.com/acmesh-official/acme.sh.git && cd ./acme.sh
./acme.sh --install -m master@weiyigeek.top
  # [Thu 10 Mar 2022 02:23:16 PM CST] Installing to /root/.acme.sh
  # [Thu 10 Mar 2022 02:23:16 PM CST] Installed to /root/.acme.sh/acme.sh
  # [Thu 10 Mar 2022 02:23:16 PM CST] Installing alias to '/root/.bashrc'
  # [Thu 10 Mar 2022 02:23:16 PM CST] OK, Close and reopen your terminal to start using acme.sh
  # [Thu 10 Mar 2022 02:23:16 PM CST] Installing cron job
  # [Thu 10 Mar 2022 02:23:16 PM CST] Good, bash is found, so change the shebang to use bash as preferred.
  # [Thu 10 Mar 2022 02:23:17 PM CST] OK

# email環境變量 & 別名設置 
export email="master@weiyigeek.top"
alias acme.sh=~/.acme.sh/acme.sh

# 查看acme.sh版本
acme.sh --version
  # https://github.com/acmesh-official/acme.sh
  # v3.0.2

# 使用 letsencrypt 提供的默認CA,當然你也可以自己提供（PS: 白嫖免費、誰不愛？）
acme.sh --set-default-ca --server letsencrypt
  # [Thu 10 Mar 2022 02:34:09 PM CST] Changed default CA to: https://acme-v02.api.letsencrypt.org/directory

至此，您現在可以發布證書了。

0x02 證書自動簽發實踐

1.acme.sh + Cloudflare 實現自動簽發泛域名證書。

Q: 什么是通配符證書?
A: 在沒有出現通配符證書之前，Let’s Encrypt 支持兩種單域名證書、SAN證書。

1）單域名證書：證書僅僅包含一個主機。
2）SAN 證書：域名通配符證書類似 DNS 解析的泛域名概念，通配符證書就是證書中可以包含一個通配符(*.exmaple.com)。主域名簽發的通配符證書可以在所有子域名中使用，比如 www.example.com、bbs.example.com。

申請通配符證書流程
步驟 01.如果您的 DNS 提供商支持 API 訪問，我們可以使用該 API 自動頒發證書，目前 acme.sh 支持大多數 dns 提供者（https://github.com/acmesh-official/acme.sh/wiki/dnsapi），如果您的 dns 提供商不支持任何 api 訪問，您只能手動添加 txt 記錄。

步驟 02.此處我已經將 weiyigeek.top域名DNS解析商設置為 Cloudflare (免費)，其DNS提供上支持API訪問, 在使用 acme.sh 實現自動簽發證書前，我們需要再Cloudflare網站上獲取用於訪問 Cloudflare API 的密鑰，首先點擊我的個人資料 -> API 令牌。

步驟 03.設置 acme.sh 用於訪問 Cloudflare 的 dnsapi 的相關環境變量。

# 注意, 如下環境變量,你需要根據你自己注冊的 Cloudflare 郵箱地址（CF_Email）以及獲取的 Cloudflare API 密鑰（CF_Key）。
export CF_Email="dns@weiyigeek.top"
export CF_Key="be587222s8qa58asd87asd20b55a30cd653" 

步驟 04.執行如下命令，可以實現自動頒發通配符&ECDSA格式證書，Let's Encrypt 支持頒發 EC 格式證書，

acme.sh --issue --dns dns_cf -d weiyigeek.top -d *.weiyigeek.top --keylength ec-256
# --issue是 acme.sh 腳本用來頒發證書的指令；
# -d是--domain的簡稱，其后面須填寫已備案的域名；
# --keylength 證書格式;
  # [Thu 10 Mar 2022 02:37:27 PM CST] Using CA: https://acme-v02.api.letsencrypt.org/directory
  # [Thu 10 Mar 2022 02:37:27 PM CST] Create account key ok.
  # [Thu 10 Mar 2022 02:37:27 PM CST] Registering account: https://acme-v02.api.letsencrypt.org/directory
  # [Thu 10 Mar 2022 02:37:29 PM CST] Registered
  # [Thu 10 Mar 2022 02:37:29 PM CST] ACCOUNT_THUMBPRINT='3BKx-SF-zF1gbbkXpT9F4yfItz7V7JYKsPAkv8mxR2o'
  # [Thu 10 Mar 2022 02:37:29 PM CST] Creating domain key
  # [Thu 10 Mar 2022 02:37:29 PM CST] The domain key is here: /root/.acme.sh/weiyigeek.top_ecc/weiyigeek.top.key
  # [Thu 10 Mar 2022 02:37:29 PM CST] Multi domain='DNS:weiyigeek.top,DNS:*.weiyigeek.top'
  # [Thu 10 Mar 2022 02:37:29 PM CST] Getting domain auth token for each domain
  # [Thu 10 Mar 2022 02:37:33 PM CST] Getting webroot for domain='weiyigeek.top'
  # [Thu 10 Mar 2022 02:37:33 PM CST] Getting webroot for domain='*.weiyigeek.top'
  # [Thu 10 Mar 2022 02:37:33 PM CST] Adding txt value: iobyZpnA9bfxgM_tW_P8hjDye677KzjyQHClMka4Btw for domain:  _acme-challenge.weiyigeek.top
  # [Thu 10 Mar 2022 02:37:36 PM CST] Adding record
  # [Thu 10 Mar 2022 02:37:37 PM CST] Added, OK
  # [Thu 10 Mar 2022 02:37:37 PM CST] The txt record is added: Success.
  # [Thu 10 Mar 2022 02:37:37 PM CST] Adding txt value: NrksC2yEFDGFFMQ8_p76tAhdjWWWLkj1yKpTjUq4TcM for domain:  _acme-challenge.weiyigeek.top
  # [Thu 10 Mar 2022 02:37:40 PM CST] Adding record
  # [Thu 10 Mar 2022 02:37:41 PM CST] Added, OK
  # [Thu 10 Mar 2022 02:37:41 PM CST] The txt record is added: Success.
  # [Thu 10 Mar 2022 02:37:41 PM CST] Let's check each DNS record now. Sleep 20 seconds first.
  # [Thu 10 Mar 2022 02:38:02 PM CST] You can use '--dnssleep' to disable public dns checks.
  # [Thu 10 Mar 2022 02:38:02 PM CST] See: https://github.com/acmesh-official/acme.sh/wiki/dnscheck
  # [Thu 10 Mar 2022 02:38:02 PM CST] Checking weiyigeek.top for _acme-challenge.weiyigeek.top
  # [Thu 10 Mar 2022 02:38:03 PM CST] Domain weiyigeek.top '_acme-challenge.weiyigeek.top' success.
  # [Thu 10 Mar 2022 02:38:04 PM CST] Checking weiyigeek.top for _acme-challenge.weiyigeek.top
  # [Thu 10 Mar 2022 02:38:06 PM CST] Domain weiyigeek.top '_acme-challenge.weiyigeek.top' success.
  # [Thu 10 Mar 2022 02:38:06 PM CST] All success, let's return
  # [Thu 10 Mar 2022 02:38:06 PM CST] Verifying: weiyigeek.top
  # [Thu 10 Mar 2022 02:38:07 PM CST] Pending, The CA is processing your order, please just wait. (1/30)
  # [Thu 10 Mar 2022 02:38:11 PM CST] Success
  # [Thu 10 Mar 2022 02:38:11 PM CST] Verifying: *.weiyigeek.top
  # [Thu 10 Mar 2022 02:38:12 PM CST] Pending, The CA is processing your order, please just wait. (1/30)
  # [Thu 10 Mar 2022 02:38:16 PM CST] Success
  # [Thu 10 Mar 2022 02:38:16 PM CST] Removing DNS records.
  # [Thu 10 Mar 2022 02:38:16 PM CST] Removing txt: iobyZpnA9bfxgM_tW_P8hjDye677KzjyQHClMka4Btw for domain: _acme-challenge.weiyigeek.top
  # [Thu 10 Mar 2022 02:38:22 PM CST] Removed: Success
  # [Thu 10 Mar 2022 02:38:22 PM CST] Removing txt: NrksC2yEFDGFFMQ8_p76tAhdjWWWLkj1yKpTjUq4TcM for domain: _acme-challenge.weiyigeek.top
  # [Thu 10 Mar 2022 02:38:30 PM CST] Removed: Success
  # [Thu 10 Mar 2022 02:38:30 PM CST] Verify finished, start to sign.
  # [Thu 10 Mar 2022 02:38:30 PM CST] Lets finalize the order.
  # [Thu 10 Mar 2022 02:38:30 PM CST] Le_OrderFinalize='https://acme-v02.api.letsencrypt.org/acme/finalize/444241360/70248671870'
  # [Thu 10 Mar 2022 02:38:31 PM CST] Downloading cert.
  # [Thu 10 Mar 2022 02:38:31 PM CST] Le_LinkCert='https://acme-v02.api.letsencrypt.org/acme/cert/03740b271962634e99cbcefe7b74351b952c'
  # [Thu 10 Mar 2022 02:38:32 PM CST] Cert success.
  # -----BEGIN CERTIFICATE-----
  # MIIEZTCCA02gAwIBAgISA3QLJxliY06Zy87+e3Q1G5UsMA0GCSqGSIb3DQEBCwUA
  # .................................
  # jvhX8eE7xRHgXppOwoEPdbZ29uSJWUD9yQ==
  # -----END CERTIFICATE-----
  # [Thu 10 Mar 2022 02:38:32 PM CST] Your cert is in: /root/.acme.sh/weiyigeek.top_ecc/weiyigeek.top.cer
  # [Thu 10 Mar 2022 02:38:32 PM CST] Your cert key is in: /root/.acme.sh/weiyigeek.top_ecc/weiyigeek.top.key
  # [Thu 10 Mar 2022 02:38:32 PM CST] The intermediate CA cert is in: /root/.acme.sh/weiyigeek.top_ecc/ca.cer
  # [Thu 10 Mar 2022 02:38:32 PM CST] And the full chain certs is there: /root/.acme.sh/weiyigeek.top_ecc/fullchain.cer

步驟 05.利用openssl查看頒發的CA及其證書。

$  acme.sh list
Main_Domain    KeyLength  SAN_Domains      CA               Created                          Renew
weiyigeek.top  "ec-256"   *.weiyigeek.top  LetsEncrypt.org  Thu 10 Mar 2022 06:38:32 AM UTC  Mon 09 May 2022 06:38:32 AM UTC

$ openssl x509 -in ca.cer -noout -text
  # X509v3 extensions:
  #   X509v3 Key Usage: critical
  #       Digital Signature, Certificate Sign, CRL Sign
  #   X509v3 Extended Key Usage:
  #       TLS Web Client Authentication, TLS Web Server Authentication
  #   X509v3 Basic Constraints: critical
  #       CA:TRUE, pathlen:0
  #   X509v3 Subject Key Identifier:
  #       14:2E:B3:17:B7:58:56:CB:AE:50:09:40:E6:1F:AF:9D:8B:14:C2:C6
  #   X509v3 Authority Key Identifier:
  #       keyid:79:B4:59:E6:7B:B6:E5:E4:01:73:80:08:88:C8:1A:58:F6:E9:9B:6E

  #   Authority Information Access:
  #       CA Issuers - URI:http://x1.i.lencr.org/

  #   X509v3 CRL Distribution Points:

  #       Full Name:
  #         URI:http://x1.c.lencr.org/

  #   X509v3 Certificate Policies:
  #       Policy: 2.23.140.1.2.1
  #       Policy: 1.3.6.1.4.1.44947.1.1.1

$ openssl x509 -in ca.cer -noout -text
$ openssl x509 -in weiyigeek.top.cer -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            03:74:0b:27:19:62:63:4e:99:cb:ce:fe:7b:74:35:1b:95:2c
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Let's Encrypt, CN = R3
        Validity
            Not Before: Mar 10 05:38:30 2022 GMT
            Not After : Jun  8 05:38:29 2022 GMT

步驟 06.使用簽發的證書，ingress為指定主機名稱設置tls, 然后通過瀏覽器訪問 https://demo.weiyigeek.top 站點，驗證tls配置是否正常。

# 1.創建一個tls類型的secret ，並使用--cert指定證書文件，--key指定證書密鑰
kubectl create secret tls wildcard-weiyigeek-top --cert=weiyigeek.top.cer --key=weiyigeek.top.key -n devtest

# 2.分別為兩個虛擬主機分別配置tls，需要再sepc字段下進行如下配置(注意縮進)
$ kubectl edit ingress -n devtest demo-myweb-blog
spec:
  tls:
  - hosts:
      - demo.weiyigeek.top
    secretName: wildcard-weiyigeek-top

步驟 07.於此同時我們還可，修改 Nginx 配置文件啟用 ssl，記得修改完成后需要重啟下 Nginx。

# 在 Nginx 主機上一條命令解決, 如果是 ECDHE 格式需要加上 --ecc 參數
acme.sh  --installcert -d weiyigeek.top \
  --ecc \ 
  --key-file /etc/nginx/ssl/weiyigeek.top.key \
  --fullchain-file /etc/nginx/ssl/fullchain.cer \
  --reloadcmd "service nginx force-reload"

# nginx.conf 的配置參考:    
server {
  listen 443 ssl;
  server_name weiyigeek.top;

  ssl on;
  ssl_certificate      /etc/nginx/ssl/fullchain.cer;
  ssl_certificate_key  /etc/nginx/ssl/weiyigeek.top.key;

  root /home/wwwroot/weiyigeek.top;
  index index.html;

  location / {
    try_files $uri $uri/ @router;
    index index.html;
  }

  location @router {
    rewrite ^.*$ /index.html last;
  }
}
  
server {
    listen 80;
    server_name weiyigeek.top;
    return 301 https://$server_name$request_uri;
}

溫馨提示: Nginx 的配置 ssl_certificate 和 ssl_trusted_certificate 使用 fullchain.cer ，而非<domain>.cer，否則 SSL Labs 的測試會報 Chain issues Incomplete 錯誤

步驟 08.創建 cron 作業以檢查和更新證書，添加force參數60天后強制更新。

20 0 */60 * * /root/.acme.sh/acme.sh --cron --force --home "/root/.acme.sh" > /dev/null

---

0x03 使用實例

1.簡單示例

# 0.注冊用戶
acme.sh --register-account -m tls@weiyigeek.top

# 1.頒發單域&多域證書(注意設置DNS指向)為其頒發證書的主機，您必須將所有域指向並綁定到同一個 webroot dir (/home/wwwroot/example.com).
acme.sh --issue -d example.com -w /home/wwwroot/example.com
acme.sh --issue -d example.com -d www.example.com -d cp.example.com -w /home/wwwroot/example.com

# 2.證書生成后利用acme.sh提供的--install-cert選項我們可以直接將證書安裝到 Apache/Nginx/Proxmox 服務。
# - Apache example:
# --installcert命令，指定目標位置，然后證書文件會被 copy 到相應的位置。
acme.sh --install-cert -d example.com \
--cert-file      /path/to/certfile/in/apache/cert.pem  \
--key-file       /path/to/keyfile/in/apache/key.pem  \
--fullchain-file /path/to/fullchain/certfile/apache/fullchain.pem \
--reloadcmd     "service apache2 force-reload"

# Nginx example:
acme.sh --install-cert -d example.com \
--key-file       /path/to/keyfile/in/nginx/key.pem  \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd     "service nginx force-reload"
# Proxmox example:
/root/.acme.sh/acme.sh --installcert -d example.com \
--certpath /etc/pve/local/pveproxy-ssl.pem \
--keypath /etc/pve/local/pveproxy-ssl.key  \
--capath  /etc/pve/local/pveproxy-ssl.pem  \
--reloadcmd  "systemctl restart pveproxy"

# 3.使用獨立服務器頒發證書，端口80(TCP)必須可以自由監聽，否則系統會提示您釋放它並重試。
acme.sh --issue --standalone -d example.com -d www.example.com -d cp.example.com

# 4.使用獨立的ssl服務器頒發證書，端口443(TCP)必須可以自由監聽，否則系統會提示您釋放它並重試。
acme.sh --issue --alpn -d example.com -d www.example.com -d cp.example.com

# 5.dns手動模式,簽發證書時，如果您的 dns 提供商不支持任何 api 訪問，使用--dns會填寫需要添加的txt記錄，此時您可以手動添加 txt 記錄
acme.sh --issue --dns -d example.com -d www.example.com -d cp.example.com

# 6.頒發ECC證書 （ECDSA）,只需keylength使用前綴設置參數ec-。
# - 單域ECC證書
acme.sh --issue -w /home/wwwroot/example.com -d example.com --keylength ec-256
# - SAN多域ECC證書
acme.sh --issue -w /home/wwwroot/example.com -d example.com -d www.example.com --keylength ec-256

# 7.頒發通配符證書非常的簡單,你只需要給一個通配符域作為-d參數。
acme.sh --issue -d example.com -d '*.example.com' --dns dns_cf --keylength ec-256

# 8.檢查證書到期時間
acme.sh --cron --home ~/.acme.sh/
  # [Thu 10 Mar 2022 04:15:54 PM CST] ===Starting cron===
  # [Thu 10 Mar 2022 04:15:54 PM CST] Renew: 'weiyigeek.top'
  # [Thu 10 Mar 2022 04:15:54 PM CST] Skip, Next renewal time is: Mon 09 May 2022 06:38:32 AM UTC
  # [Thu 10 Mar 2022 04:15:54 PM CST] Add '--force' to force to renew.
  # [Thu 10 Mar 2022 04:15:54 PM CST] Skipped weiyigeek.top_ecc
  # [Thu 10 Mar 2022 04:15:54 PM CST] ===End cron===

# 9.重新申請簽發證書, 設置定時任務后所有證書將每60天自動更新一次，當然您也可以強制更新證書：
acme.sh --renew -d example.com --force [--ecc]  # ecc 參數, 表明只是針對頒發的ECC證書。
acme.sh --renew -d example.com --force 

# 10.停止更新證書，您可以執行以下操作從更新列表中刪除證書：
acme.sh --remove -d example.com [--ecc]  # 注意, 證書/密鑰文件不會從磁盤中刪除。

# 11.啟用自動升級保持acme.sh為最新版本，禁用自動更新。
acme.sh --upgrade --auto-upgrade
acme.sh --upgrade --auto-upgrade 0


# 12.查看證書列表
acme.sh --list 

# 13.刪除證書
acme.sh remove <SAN_Domains>

2.擴展補充

Q: 將默認 CA 更改為 ZeroSSL?
A: 通常情況下acme.sh使用letsencrypt作為默認CA, 當前可以將默認CA更改為 ZeroSSL（https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA），但實際上並不建議這樣做，因為，Let's Encrypt 可以頒發 EC 證書，而 ZeroSSL.com 則不支持頒發。

Q: 如何頒發包含多個域的單個證書，每個域使用不同的驗證方法多域、SAN模式、Hybrid模式。

$ acme.sh  --issue  \
-d aa.com  -w /home/wwwroot/aa.com \
-d bb.com  --dns dns_cf \
-d cc.com  --apache \
-d dd.com  -w /home/wwwroot/dd.com

Q: 如何生成pkcs12(pfx) 格式證書?

A: 頒發證書后可使用toPkcs命令將證書轉換為 pkcs12(pfx) 格式，執行 acme.sh --toPkcs -d example.com [--password pfx-password] 命令即可。

Q: 如何從從現有 CSR 頒發證書?

A: 從 v2.4.4 開始，acme.sh 支持從現有 csr 頒發證書, 具體操作如下所示:

# 顯示 csr 中的主題和域名。
acme.sh --showcsr --csr /path/to/mycsr.csr

# 本地web root目錄驗證
acme.sh --signcsr --csr /path/to/mycsr.csr -w /path/to/webroot/

# DNS TXT 解析驗證
acme.sh --signcsr --csr /path/to/mycsr/csr --dns dns_cf

Q: 如何進行證書簽發通知?
A: acme.sh 可以在 cronjob 中發送通知, 通知可以是電子郵件或任何其他支持的方式，例如請求 webhook 等， 參考地址：https://github.com/acmesh-official/acme.sh/wiki/notify

# 1.郵件通知
export MAIL_FROM="xxx@xxx.com" # or "Xxx Xxx <xxx@xxx.com>", currently works only with sendmail
export MAIL_TO="xxx@xxx.com"   # your account e-mail will be used as default if available
acme.sh --set-notify  --notify-hook mailgun  --notify-hook mail  \
  --notify-level 2 \
  --notify-mode 0

# 2.設置釘釘通知(釘釘),通過群機器人 webhook api 向釘釘群推送通知, 能力開通 https://ding-doc.dingtalk.com/doc#/serverapi2/qf2nxq
export DINGTALK_WEBHOOK='https://oapi.dingtalk.com/robot/send?access_token=b05ccexxxxx'
export DINGTALK_KEYWORD=acme
acme.sh  --set-notify  --notify-hook dingtalk

# 3. QQ with self-built CQHTTP API, 通過 CoolQ 的插件 CQHTTP 將消息推送到 QQ, 需要您自行部署 CQHTTP 服務端.
# 四個環境變量可供傳入:
* CQHTTP_TOKEN: 建議非空，將 CQHTTP 配置文件中您設置的 Access Token 填入。
* CQHTTP_USER: 必需，接收推送通知的 QQ 號碼。您需要自行保證機器人號碼可以向接收者的 QQ 號碼發送消息。
* CQHTTP_APIROOT: 必需，您搭建的 CQHTTP 服務器的 URL (不包含斜杠結尾)。
* CQHTTP_CUSTOM_MSGHEAD: 可選，自定義的消息開頭。默認值是 "A message from acme.sh:".

export CQHTTP_TOKEN="Itsjustat0ken,qwq"       # That's the access token
export CQHTTP_USER="10086"     # That's your QQ number (receiver)
export CQHTTP_APIROOT="http://cqhttp-server.local:5700"     # That's your server address
acme.sh  --set-notify  --notify-hook cqhttp

Q: acme.sh 除了支持Cloudflare還支持那些DNSAPI供應商
描述: acme.sh 目前支持 cloudflare, dnspod, cloudxns, godaddy 以及 ovh 等數十種解析商的自動集成。

• 使用萬網/阿里雲的 NDS 解析操作方法：點擊右上角頭像 -> 選擇 AccessKey -> 點擊開始使用子用戶 AccessKey -> 起個自定義名稱 -> 搜索 NDS -> 選擇 系統 AliyunDNSFullAccess

# 1.阿里雲 --dns dns_ali ，獲取阿里雲的DNS API key，首先開通阿里雲AccessKeys子賬戶，復制這里的AccessKeyID和AccessKeySecert值。
export Ali_Key="YourKey" 
export Ali_Secret="YourSecert"

• 使用的是 DNSPod 解析服務，那就登錄 DNSPod 官網生，成所需的 api id 和 api key, 操作方法點擊右上角頭像 -> 我的賬號 -> 賬號中心 -> 密鑰管理 -> 創建密鑰

# 2.DNSPod --dns dns_dp
export DP_Id="YourID"
export DP_Key="YourKey"

安裝部署RSA、ECC雙證書(使用DNSPod API)

#!/bin/sh
DOMAIN="example.com"            # 域名
CERT_FOLDER="/etc/nginx/certs"  # 證書存放的目錄，結尾不能是"/"字符
export DP_Id="123456AbCdEfGh1234567890"           # DNSPod用戶賬戶
export DP_Key="aBcDEfGhHiJkLmNOpQrStUvWxYz234"    # DNSPod用戶密鑰

# 申請RSA證書
acme.sh --issue -d ${DOMAIN} -d *.${DOMAIN} --dns dns_dp --dnssleep 30 --ocsp --days 60 --keylength 2048
# 申請ECC證書
acme.sh --issue -d ${DOMAIN} -d *.${DOMAIN} --dns dns_dp --dnssleep 30 --ocsp --days 60 --keylength ec-256

# 創建證書安裝所需要的目錄
mkdir ${CERT_FOLDER}/{rsa,ecc}

# 安裝RSA證書
acme.sh --install-cert -d ${DOMAIN}                         \
        --cert-file       ${CERT_FOLDER}/rsa/cert.pem       \
        --key-file        ${CERT_FOLDER}/rsa/key.pem        \
        --fullchain-file  ${CERT_FOLDER}/rsa/fullchain.pem  \
        --reloadcmd       "systemctl restart nginx"

# 安裝ECC證書
acme.sh --install-cert -d ${DOMAIN} --ecc                   \
        --cert-file       ${CERT_FOLDER}/ecc/cert.pem       \
        --key-file        ${CERT_FOLDER}/ecc/key.pem        \
        --fullchain-file  ${CERT_FOLDER}/ecc/fullchain.pem  \
        --reloadcmd       "systemctl restart nginx"

0x04 入坑出坑

1.Cloudflare 的API 不技持 .cf, .ga, .gq, .ml, or .tk 的域名申請證書

• 錯誤信息:

"errors": [{
  "code": 1038,
  "message": "You cannot use this API for domains with a .cf, .ga, .gq, .ml, or .tk TLD (top-level domain). To configure the DNS settings for this domain, use the Cloudflare Dashboard."
}],

• 解決辦法: 不能自動申請則只能WEB頁面上進行申請。

0x04 其它參考

• CertBot Ubuntu: https://certbot.eff.org/instructions?ws=nginx&os=ubuntufocal
• Let's Encrypt + Nginx + CertBot 泛解析域名的一次實現 : https://blog.csdn.net/weixin_43558927/article/details/123046649
• Let's Encrypt 配置泛域名通用證書 : https://www.jianshu.com/p/c6f6f277a23d

書寫不易，如果您覺得這個專欄還不錯的，請給這篇專欄 【點個贊、投個幣、收個藏、關個注，轉個發】(人間五大情)，這將對我的肯定，謝謝支持！(๑′ᴗ‵๑) ❤

本文章來源 我的Blog站點 或 WeiyiGeek 公眾賬號 以及 我的BiliBili專欄 (技術交流、友鏈交換請郵我喲),
歡迎各位志同道合的朋友一起學習交流，如文章有誤請留下您寶貴的知識建議，通過郵箱【master#weiyigeek.top】聯系我喲！