acme.sh签发和部署ZeroSSL泛域名证书

2023-9-2

介绍

acme.sh 是个开源的shell证书生成脚本，他可以自动生成Let's Encrypt 的证书，也可以通过API生成其他的证书。

这里我们用的ZeroSSL签发的证书。有人问，为啥不用Let’s Encrypt的证书呢？因为有人说Let’s Encrypt的服务器被墙，导致使用Let’s Encrypt证书的网页加载缓慢。
在acme.sh的文档中提到，acme.sh默认server使用Let’s Encrypt，将在2021/08/01发布v3版本。

安装acme.sh

这里的环境是Linux环境

curl  https://get.acme.sh | sh

安装完了，如果输入acme.sh --version，会显示找不到命令。我们还需要创建一个alias。

alias acme.sh=~/.acme.sh/acme.sh

将acme.sh server更改为ZeroSSL

可能当前版本的acme默认也是ZeroSSL，但是还是设置一下吧。

acme.sh --set-default-ca  --server zerossl

配置DNS API

SSL证书验证可通过DNS验证、文件验证等多种方式，为了方便多个域名申请以及后续证书更新，推荐使用DNS API方式，不过在使用前需要先进行设置。

获取 cloudflare API key

点击这个网站https://dash.cloudflare.com/profile/api-tokens 进入cloudfare的user api地址。然后复制Global API Key。

就是验证一下域名使用权，这里我的域名托管到cloudfare，这里就用cloudfare的API了，如果你的域名托管到其他地方，请自行百度获取API的方式。

设置 cloudflare API key

终端输入

export CF_Key="cloudflare 中查看你的 Global API Key" 
export CF_Email="你的 cloudflare 邮箱"

ZeroSSL使用说明

需要在ZeroSSL的官网注册一个账户，一会需要将acme.sh和自己的账户进行关联。
别看网站上面签发泛域名证书要花钱，如果您通过ZeroSSL官网在线申请SSL证书,免费账户是有3个域的额度限制的，但通过acme.sh申请则没有这个限制，所以建议使用acme.sh进行申请，简单方便。

acme.sh申请ZeroSSL泛域名SSL证书

关联ZeroSSL

将myemail@example.com替换成当时注册ZeroSSL的邮箱。

acme.sh  --register-account  -m myemail@example.com --server zerossl

申请ZeroSSL泛域名SSL证书

acme.sh --dns dns_huaweicloud --issue -d domain.com -d *.domain.com

复制证书

这里不要使用上面申请完的那个证书路径，需要拷贝到别处去。

acme.sh  --installcert  -d  damain.com   \
        --key-file   /home/ssl/key.pem \
        --fullchain-file /home/ssl/cert.pem

这里吧damain.com换成你自己的域名，两个路径也可以自己选，生成的证书就会导入到这两个文件里面。

部署证书

这里我用的宝塔面板(宝塔将对应网站ngigx配置文件放在/www/server/panel/vhost/nginx)

在网站（要部署证书的网站）设置，配置文件中加入下面的代码，保证443端口已经打开，然后将SSL证书和私钥文件的路径替换为自己的。

# SSL证书申请的地址
listen 443 ssl;
# SSL证书和私钥文件的路径
ssl_certificate /home/ssl/cert.pem;
ssl_certificate_key /home/ssl/key.pem;
# ssl基础配置
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;

如果不用宝塔面板的话也是修改对应网站的nginx配置文件就行。

最后，重启Nginx。