acme.sh 非常简单的从 letsencrypt 生成 ssl 证书的中文说明

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

爱意满满的作品展示区。

这是一个创建于 2767 天前的主题，其中的信息可能已经有所发展或是发生改变。

acme.sh 是一个纯 unix shell 兼容的脚本, 实现了 acme 协议, 可以从 letsencrypt 自动生成并更新 ssl 证书.

我刚刚写了一个中文说明, 希望能帮到大家, 为大家节约时间:

https://github.com/Neilpang/acme.sh/wiki/%E8%AF%B4%E6%98%8E

SSL

生成

证书

Acme

36 条回复 • 2016-12-23 09:35:48 +08:00

majinjing3

2016-09-29 23:31:01 +08:00 via Android

支持一个，一直在使用，哈哈～不错不错

neilp

2016-09-29 23:38:05 +08:00

这里还有一些 tutorials: https://github.com/Neilpang/acme.sh/wiki/Blogs-and-tutorials

acrisliu

2016-09-29 23:45:21 +08:00 via Android

有一点好像 readme 里面没说：安装 ECC 证书需要带上--ecc 参数，貌似是新版本才要求这样的。

neilp

2016-09-29 23:47:49 +08:00

@acrisliu 是的, 在安装证书时, 如果是 ecc 证书, 需要加上 `--ecc` 参数, 这是为了让 rsa 证书和 ecdsa 证书共存, 如果没有 `--ecc`, 系统无法区分要使用 rsa 证书还是 ecdsa 证书.

msg7086

2016-09-29 23:59:44 +08:00

大佬_(:з」∠)_

签发 ecc&rsa 双证书有什么更方便的方法吗？
我现在都是手动改 conf 配置文件来伪装成两个网站去 renew 的。

neilp

2016-09-30 00:02:02 +08:00 via iPhone

@msg7086 为什么要伪装直接签两个不就好了？

msg7086

2016-09-30 00:17:23 +08:00

[Thu Sep 29 12:16:36 EDT 2016] Skip, Next renewal time is

不伪装的话咋签第二个？

neilp

2016-09-30 00:34:31 +08:00 via iPhone

@msg7086

第二个加参数

acme.sh ....... -k ec-256

msg7086

2016-09-30 04:41:10 +08:00

@neilp ↑ 这就是我想要的回答。多谢！

msg7086

2016-09-30 04:47:32 +08:00

↑ 我又想了一下，应该是我之前用两个月前的版本试的时候还没支持吧？
那时候我用 -k ec-384 结果直接 Skip 了。

之前那个 Skip verification 的问题也是因为没有更新到最新版本。

Showfom

2016-09-30 06:02:53 +08:00 via iPhone

@msg7086 只用 ecc is 就行了，不要去考虑老掉牙的浏览器和设备咯哈哈

paranoiagu

2016-09-30 08:00:36 +08:00 via Android

收藏了

isbase

2016-09-30 08:09:07 +08:00 via Android

没有放首页，新用户发现的几率很小

wql

2016-09-30 23:31:38 +08:00 via Android

感谢楼主！一直在用你的程序签证书！

isCyan

2016-10-01 01:16:29 +08:00 via Android

之前就用了，特别赞！！

mritd

2016-10-01 21:55:46 +08:00

问个小问题，这个自动续期的时候要不要验证 80 端口？

我在创建的时候是基于 nginx 的 docker 镜像创建，创建时 nginx 还没启动，但创建成功后 nginx 就启动了，如果自动续期占用 80 的话就会和 nginx 冲突

neilp

2016-10-01 22:41:16 +08:00

@mritd 理论上每次生成证书都要验证所有权。而验证所有权的方式有很多种，你说的属于 standalone 模式， 80 端口必须可用。如果你已经有 nginx 占用了 80 端口，可以使用 webroot 模式。直接在网站根目录防止一个文件验证所有权。还有一种用 dns 验证所有权，需要在 dns 上添加一条 txt 记录验证所有权。

鉴于你的情况，建议你用 webroot 模式。

···
acme.sh --issue -d mydomain.com --webroot /home/wwwroot/mydomain.com
···

https://github.com/Neilpang/acme.sh/wiki/%E8%AF%B4%E6%98%8E

mritd

2016-10-02 16:12:52 +08:00 via iPhone

@neilp 已经解决了，情况有点复杂……我写了个脚本，要生成时临时启动一个 nginx ，然后挂载目录验证，生成后再启动 compocompose 的容器就行了……最后我发现有 godagodaddy 的支持……泪奔😂😂😂

liul85

2016-10-06 11:58:35 +08:00

收藏了，多谢楼主

GPU

2016-10-18 14:18:03 +08:00

您好. 请问我更换了 VPS 之后，是否把整个 .acme.sh 目录复制到新 vps,然后添加一条 crontab 就可以了.

neilp

2016-10-18 16:29:19 +08:00

@GPU
是的, 复制过去之后, 在重新安装一次, 它会自动找到之前的文件, 并自动添加 crontab

GPU

2016-10-18 16:30:46 +08:00

@neilp 谢谢。明白了。

GPU

2016-10-19 13:58:47 +08:00

@neilp

root@debian:~/.acme.sh# ./acme.sh --install
[Wed Oct 19 13:57:56 CST 2016] Installing to /root/.acme.sh
cp: ‘ acme.sh ’ and ‘/root/.acme.sh/acme.sh ’ are the same file
[Wed Oct 19 13:57:56 CST 2016] Install failed, can not copy acme.sh

neilp

2016-10-19 15:41:33 +08:00

@GPU
重新 install 的时候, 同一个文件不能拷贝.

直接在线安装: curl https://get.acme.sh| sh

就好了.