ACME 自动化快速入门

通过提前进行域名授权,实现 ACME 客户端自动签发证书。

1. SSH 登录服务器

通过 SSH 登陆到您的 web 服务器,建议切换root用户,减少证书安装时的问题。

2. 安装ACEM客户端

在您的机器上安装ACME客户端:acme.sh

官方下载地址:

curl https://get.acme.sh | sh -s email=my@example.com

备用下载地址

curl https://gitcode.net/cert/cn-acme.sh/-/raw/master/install.sh?inline=false | sh -s email=my@example.com

说明:安装完成后,再重新打开命令行(如果是 SSH,选择断开后重新连接),以使acme.sh命令生效。

3. 获取申请命令

域名首次申请证书,需要先完成域名授权,才能获取证书申请命令。以下操作需要登录 EDUPKI 平台完成。

3.1 域名授权

添加域名

登录 EDUPKI 平台,点击“ACME”,选择“域名授权”,点击“添加域名”。

image.png

获取DCV验证信息

image.png

验证域名

前往域名托管商,添加解析记录,填入验证信息,点击提交。

image.png

进入 EDUPKI 平台,点击“配置完成,立即检测”,域名状态显示“验证通过”。

image.png

3.2 申请证书

该操作仅生成证书命令,实际申请证书操作请在业务服务器完成。

选择域名

登录 EDUPKI 平台,点击“ACME”,选择“ACME 客户端”,点击“申请证书”,选择域名

image.png

获取命令

image.png

4. 申请证书

复制上述步骤中的命令,登录服务器,申请证书。

5. 部署证书

Apache example

acme.sh --install-cert -d example.com \
			--cert-file      /path/to/certfile/in/apache/cert.pem  \
			--key-file       /path/to/keyfile/in/apache/key.pem  \
			--fullchain-file /path/to/fullchain/certfile/apache/fullchain.pem \	
			--reloadcmd     "service apache2 force-reload"

Nginx example

acme.sh --install-cert -d example.com \
	--key-file       /path/to/keyfile/in/nginx/key.pem  \
	--fullchain-file /path/to/fullchain/nginx/cert.pem \
	--reloadcmd     "service nginx force-reload"

享受自动续期吧!期间请勿删除域名及解析记录,证书进入到30天有效期,acme.sh 会自动完成续期。

November 17, 2022