Let's Encrypt免费泛域名SSL证书申请及自动续签

转自https://i.congm.in/ssl/

Let's Encrypt介绍

一、证书申请

acme.sh 的具体使用说明见：https://github.com/Neilpang/acme.sh/wiki/说明

1、安装 acme.sh

普通用户和root用户都可以安装使用，安装脚本其实是进行了如下操作:

1）会把 acme.sh 安装到你所执行命令用户的用户目录下： ~/.acme.sh/

2）会创建 bash 的 alias，方便你的使用：alias acme.sh=~/.acme.sh/acme.sh

3）会自动为你创建 cronjob 脚本，每天零点自动检测所有的证书，如果某证书快过期需要更新，则会自动更新该证书。

2、验证域名并生成证书

方式1、HTTP文件验证： (不建议)

注意：对于通配符证书需要加-d 域名 -d *.域名两个参数-w 即webroot，为该域名通过http所访问到的本地目录上面这段过程将会在/home/webroot创建一个 .well-known 的文件夹，同时 Let’s Encrypt 将会通过你要注册的域名去访问那个文件来确定权限，它可能会去访问 http://congm.in/.well-known/ 这个路径，验证成功会自动清理

方式2、DNS-API验证：（推荐）

注意：对于通配符证书需要加 -d 域名 -d *.域名 两个参数Ali_Key 和 Ali_Secret 将会保存在 ~/.acme.sh/account.conf 执行上述命令后，证书文件将会自动申请被存放在 ~/.acme.sh/对应的域名文件夹中，如：~/.acme.sh/congm.in 。后续 acme.sh 将会自动更新该文件夹内的证书。

3、部署nginx

1. 拷贝证书

注意：通过该命令可将 ~/.acme.sh/congm.in 内的证书copy到指定位置/etc/nginx 为nginx服务器实际的地址(可修改为自己服务器对应的地址)service nginx force-reload 为nginx重启命令(可修改为自己服务器对应的命令)，force-reload 会重载证书，后续 acme.sh 签发了新证书后就自动完成该拷贝过程

1. 配置nginx