干货！acme-tiny Let's Encrypt证书自动脚本

skywing · 发表于 2016-4-25 09:05:31

本帖最后由 skywing 于 2016-4-25 20:56 编辑

https://github.com/diafygi/acme-tiny
试用了一下，比Let's Encrypt官方工具更好用
简单把步骤说下：
1 此脚本需要python和openssl支持，LINUX一般都自带，没有请自行安装开始之前创建一个文件夹存放文件

mkdir ~/letsencrypt
cd ~/letsencrypt

复制代码

2 创建一个 Let's Encrypt账户私钥，以便让其识别你的身份

openssl genrsa 4096 > account.key

复制代码

如已用官方工具生成私钥，需要将其转换为acme-tiny支持的PEM格式

# 下载转换脚本
wget -O - "https://gist.githubusercontent.com/JonLundy/f25c99ee0770e19dc595/raw/6035c1c8938fae85810de6aad1ecf6e2db663e26/conv.py" > conv.py
# 复制私钥到工作目录
cp /etc/letsencrypt/accounts/acme-v01.api.letsencrypt.org/directory/<id>/private_key.json private_key.json
#创建DER私钥
openssl asn1parse -noout -out private_key.der -genconf <(python conv.py private_key.json)
# 转换到 PEM格式的私钥
openssl rsa -in private_key.der -inform der > account.key

复制代码

3 创建域名证书请求文件(CSR)

#创建域名私钥
openssl genrsa 4096 > domain.key
#单域名CSR用如下命令
openssl req -new -sha256 -key domain.key -subj "/CN=yoursite.com" > domain.csr
#多域名CSR用如下命令（一般都至少要为根域和WWW申请证书吧）
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr

复制代码

4 配置验证域名所有权的服务

#创建验证目录，我用的是
mkdir -p /home/wwwroot/challenges/

复制代码

配置一个HTTP服务让LETSENCRYPT能下载验证文件

server {
listen 80;
server_name yoursite.com www.yoursite.com;
location /.well-known/acme-challenge/ {
alias /home/wwwroot/challenges/;
try_files $uri =404;
}
...the rest of your config
}

复制代码

5 获取签名证书

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /home/wwwroot/challenges/ > ./signed.crt

复制代码

我在这一步遇到如下问题，

ValueError: Wrote file to /home/wwwroot/challenges/xxxxxxxxxxxxxxxxxxxxxxxxxxx, but couldn't download http://www.yoursite.com/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxxxxx

复制代码

，是因为我DNS服务器是DNSPOD，letsencrypt无法解析域名造成的，最终把域名DNS服务器改到dns.he.net解决！

#用nginx还得合并中间证书
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem

复制代码

6 安装证书（以NGINX为例说明）

server {
listen 443;
server_name yoursite.com, www.yoursite.com;
ssl on;
ssl_certificate /path/to/chained.pem;
ssl_certificate_key /path/to/domain.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
ssl_session_cache shared:SSL:50m;
ssl_dhparam /path/to/server.dhparam;
ssl_prefer_server_ciphers on;
...the rest of your config
}
server {
listen 80;
server_name yoursite.com, www.yoursite.com;
location /.well-known/acme-challenge/ {
alias /var/www/challenges/;
try_files $uri =404;
}
...the rest of your config
}

复制代码

7 创建自动更新脚本（证书有效期三个月，一般一个月更新一次吧）

vi ~/letsencrypt/renew_cert.sh
#!/usr/bin/sh
python /path/to/acme_tiny.py --account-key /path/to/account.key --csr /path/to/domain.csr --acme-dir /var/www/challenges/ > /tmp/signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat /tmp/signed.crt intermediate.pem > /path/to/chained.pem
service nginx reload
#赋予执行权限
chmod +x renew_cert.sh

复制代码

加入crontab

0 0 1 * * ~/letsencrypt/renew_cert.sh 2>> /var/log/acme_tiny.log

复制代码

搞定收工

sgwyhwt · 发表于 2016-4-25 09:08:17

技术贴必须顶

醉里耍大刀 · 发表于 2016-4-25 09:17:42

好像有点复杂，有一键的么？

月痕 · 发表于 2016-4-25 09:20:52

自动脚本。。好麻烦还以为是一件的

malong101 · 发表于 2016-4-25 09:25:41

好复杂看不懂听说 openlitespeed 要出一键包，，，忽悠他们弄

evanvane · 发表于 2016-4-25 09:28:07

太复杂还不如用vpser的

skywing · 发表于 2016-4-25 09:51:51

醉里耍大刀发表于 2016-4-25 09:17
好像有点复杂，有一键的么？

一键的创建验证域名所有权的HTTP服务和安装证书这两步不好弄，各人的环境都不一样

叶子990183485 · 发表于 2016-4-25 09:52:30

显示全部楼层 · 发表于 2016-4-25 10:13:08

提示: 作者被禁止或删除内容自动屏蔽

Diss · 发表于 2016-4-25 10:46:27

在搬瓦工上测试成功吗？

		自动登录	找回密码
密码			注册

suzizi 该用户已被删除	发表于 2016-4-25 10:13:08 来自手机 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
suzizi 该用户已被删除
	回复支持反对举报

[疑问] 干货！acme-tiny Let's Encrypt证书自动脚本