Acme申请SSL证书

ZeroSSL 提供了一个免费的 ACME 客户端，使用户能够轻松地生成和管理 SSL/TLS 证书。

ZeroSSL可以通过自动化的方式获取和更新证书，无需手动进行繁琐的证书申请和安装过程。

ZeroSSL 通过 ACME 客户端可以与你的服务器进行交互，并自动验证你对域名的控制权。验证通过ZeroSSL 将为你签发有效期为 90 天的 SSL/TLS 证书。使用这些证书来加密网站流量，确保数据的安全传输。

• ACME (Automatic Certificate Management Environment) 是一种协议，用于自动化获取和管理 SSL/TLS 证书。
• ZeroSSL 是一个提供 ACME 协议支持的证书颁发机构 (Certificate Authority, CA)。

 

部署

1、下载acme脚本并运行

curl https://get.acme.sh | sh

2、命令生效

source /root/.bashrc

3、设置变量名指定DNS的kpi授权令牌(去域名所在的托管网站查看API令牌)

export CF_Key="1234567890"

4、设置变量名指定DNS的登录邮箱

export CF_Email="[email protected]"

5、在ZeroSSL注册并验证电子邮件（首次）

~/.acme.sh/acme.sh --register-account -m [email protected]

6、指定参数，申请证书

• --issue 请求证书的签发参数
• --dns dns_cf 指定 acme.sh 使用 Cloudflare 的 API 来验证对域名的控制权
• -d cddone.com 签发证书的主域名
• -d *.cddone.com 签发证书的通配符域名，使用星号 (*) 来表示任意子域名

申请ECC证书

acme.sh --issue --dns dns_cf -d cddone.com -d *.cddone.com

申请RSA证书

acme.sh --issue --dns dns_cf -d cddone.com -d *.cddone.com -k 2048

7、证书存放路径

Your cert is in: /root/.acme.sh/cddone.com_ecc/cddone.com.cer				//证书文件
Your cert key is in: /root/.acme.sh/cddone.com_ecc/cddone.com.key			//证书密钥
The intermediate CA cert is in: /root/.acme.sh/cddone.com_ecc/ca.cer			//中间CA证书
And the full chain certs is there: /root/.acme.sh/cddone.com_ecc/fullchain.cer	//完整链式证书

8、合并完整证书链

cat fullchain.cer cddone.com.key > cddone.com_full.pem

9、指定完整证书链

ssl_certificate         ssl/fullchain_with_key.pem;
ssl_certificate_key     ssl/fullchain_with_key.pem;

10、查看申请的所有证书

acme.sh --list

11、吊销证书

~/.acme.sh/acme.sh --revoke -d cddone.com *.cddone.com

12、删除吊销的证书

rm -rf /root/.acme.sh/ssh.cddone.com_ecc

13、切换默认CA为Let’s Encrypt

acme.sh --set-default-ca --server letsencrypt

14、切换默认CA为ZeroSSL

acme.sh --set-default-ca --server zerossl