Quando si tratta di certificati SSL gratuiti, consiglio vivamente Let's Encrypt. È gratuito da richiedere, facile da installare e può essere rinnovato a tempo indeterminato. Attualmente, il sito Web principale di wzfou.com utilizza il certificato SSL gratuito di Let's Encrypt. Alcune persone temono di non poter utilizzare il certificato Let's Encrypt senza un host VPS. Infatti, ora puoi richiedere direttamente Let's Encrypt online.
Il certificato SSL con nome di dominio singolo di Let's Encrypt ha notevolmente promosso la popolarità dei certificati SSL in tutto il mondo e ora la notizia ancora più entusiasmante è: dopo innumerevoli ritardi, il certificato SSL gratuito con nome di dominio completo di Let's Encrypt Wildcard è finalmente online! Chiunque può richiederlo gratuitamente e lo script Acme.sh può essere utilizzato per ottenere l'emissione con un clic, il che è molto conveniente.
acme.sh implementa il protocollo acme
e può generare certificati gratuiti da letsencrypt. Passaggi principali: installare acme.sh, generare certificato, copiare il certificato su nginx/apache o altri servizi, aggiornare il certificato, aggiornare acme.sh. Il certificato SSL del nome di dominio gratuito di Let's Encrypt Wildcard è ancora valido per tre mesi e verrà rinnovato automaticamente da acme.sh.
Questo articolo condividerà l'applicazione con un clic e il tutorial sull'utilizzo di SSL per il certificato SSL con nome di dominio gratuito Let's Encrypt Wildcard. Per ulteriore esperienza nella creazione di siti Web e risorse per la creazione di siti Web, puoi provare:
- Cinque cose da tenere presente quando si effettuano prelievi di contanti tramite PayPal: vincolo del conto, mancato blocco, commissioni di gestione e tempi di prelievo
- Dieci suggerimenti gratuiti per l'accelerazione CDN di CloudFlare che potresti non conoscere: SSLDDOSCache
- Accelerazione CDN autocostruita: associazione inversa Nginx, accelerazione della cache, aggiornamento automatico della cache e acquisizione di IP reale
PS: aggiornato il 6 aprile 2018, Per ulteriori certificati SSL gratuiti, consultare l'argomento speciale che ho raccolto e organizzato: Raccolta e riepilogo dei certificati SSL gratuiti: aggiungi gratuitamente l'accesso crittografato sicuro HTTPS al sito Web.
PS: aggiornato il 26 marzo 2018, Let's Encrypt richiede un host VPS prima di poterlo richiedere. Gli amici che hanno solo un host virtuale possono provare a richiedere SSL gratuito online: tre certificati SSL gratuiti online Indirizzo dell'applicazione : AlwaysOnSSL, SSL gratuito e FreeSSL.org.
PS: aggiornato il 15 ottobre 2018, Tutorial dettagliato sull'installazione del certificato SSL gratuito letsencrypt, riferimento: richiedi e installa il certificato SSL gratuito letsencrypt per il sito Web in tre semplici passaggi: acme.sh si rinnova automaticamente.
1. Preparazione prima di richiedere il certificato SSL pan-dominio Let's Encrypt
Sito ufficiale:
- HTTPS://letsencrypt.org/
- https://github.com/neil-fat/acme.is
- HTTPS://Sono qui.com/VPS-List/
1.1 Server VPS
Per installare il certificato SSL pan-domain gratuito Let's Encrypt Wildcard, è necessario almeno un host VPS. Per quanto riguarda l'acquisto di un host VPS, puoi leggere le mie recensioni sugli host VPS: Riepilogo dei provider host VPS e delle sale computer collegate alla linea CN2 e. Host VPS in classifica uno.
Se non ti dispiace il fastidio della registrazione + registrazione, puoi scegliere provider di hosting VPS nazionali come Alibaba Cloud VPS, Tencent Cloud VPS, JD Cloud VPS, ecc. Se desideri un VPS veloce che non richieda registrazione + registrazione, puoi provare la linea CN2 o i VPS delle sale computer di Hong Kong o della Corea del Sud, come Alibaba Cloud Hong Kong, CN2 VPS, Kdatacenter, ecc.
1.2 Fai un buon lavoro con la risoluzione DNS
Let's Encrypt supporta DNS Pod, CloudXNS, Amazon Route53, CloudFlare e altre risoluzioni DNS. Devi prima modificare il NS del nome di dominio.
2. Crittografiamo lo strumento SSL acme.sh
2.1 Installa acme.sh
acme.sh implementa il protocollo acme
e può generare certificati gratuiti da letsencrypt. L'installazione è semplice, basta un comando:
curl https://get.acme.sh | sh
Sia gli utenti ordinari che gli utenti root possono installarlo e utilizzarlo. Installa acme.sh nella tua directory home: ~/.acme.sh/
e crea un alias bash per tua comodità: acme.sh= ~/.acme. sh/acme.sh
Allo stesso tempo, acme.sh crea automaticamente un cronjob per te e rileva automaticamente tutti i certificati ogni giorno alle 0:00. Se sta per scadere e deve essere aggiornato, il certificato verrà aggiornato automaticamente. Il processo di installazione non inquinerà alcuna funzione e file di sistema esistente e tutte le modifiche sono limitate alla directory di installazione: ~/.acme.sh/
.
2.2 Ottieni l'API DNS
Attualmente acme.sh deve utilizzare l'API DNS per verificare il nome di dominio. Qui prendiamo DNSPOD come esempio. Puoi trovare l'API accedendo al centro utenti.
Fare clic per creare una nuova API.
Infine puoi copiare l'ID API e la chiave.
2.3 Emissione del certificato del nome di dominio Let's Encrypt
DNSPod viene utilizzato qui come dimostrazione. Se utilizzi altri DNS, fai riferimento all'appendice in questo articolo. I comandi di DNS diversi sono diversi. Esegui i seguenti comandi per salvare la chiave API e l'ID di DNSPOD.
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
Questo DP_Id
e DP_Key
vengono salvati in ~/.acme.sh/account.conf
. Esegui il comando seguente per emettere un certificato del nome di dominio Let's Encrypt:
acme.sh --issue --dns dns_dp -d wzfou.com -d *.wzfou.com
#默认签发的是RSA,如果你想签发ECC证书,请使用以下命令
acme.sh --issue --dns dns_dp -d wzfou.com -d *.wzfou.com --keylength ec-256
#可选长度有:
ec-256 (prime256v1, “ECDSA P-256”)
ec-384 (secp384r1, “ECDSA P-384”)
L'intero processo di emissione è molto veloce. Dopo il completamento, puoi generare il percorso del certificato SSL.
Ora apri il percorso del certificato Fullchain.cer è il certificato del nome di dominio completato e wzfou.com.key è la chiave. Devi solo scaricare questi due file per abilitare il certificato SSL Let's Encrypt.
3. Crittografiamo l'installazione del certificato SSL
In effetti, tutti i più diffusi pannelli host VPS supportano già certificati SSL personalizzati o l'applicazione con un clic e l'installazione di certificati SSL Let's Encrypt, come BT.cn Pagoda Panel, OneinStack, LNMP, WDCP, AppNode Panel, ecc. Per ulteriori metodi di installazione, fare riferimento a: Elenco del Pannello di controllo del server.
4. Appendice: acquisizione ed emissione di SSL da parte delle principali API DNS
illustrare:
- Riferimento all'appendice da: https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md
- Riepilogo del servizio di risoluzione DNS: https://wzfou.com/mianfei-dns/
- Quando si emette un SSL per più domini, modificare la parte del comando:
-d www.example.com
in:-d *.example.com
4.1 API DNS CloudFlare
Per prima cosa devi accedere al tuo account CloudFlare per ottenere la chiave API.
export CF_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export CF_Email="xxxx@sss.com"
Ok, emettiamo ora un certificato:
acme.sh --issue --dns dns_cf -d example.com -d www.example.com
CF_Key
e CF_Email
verranno salvati in ~/.acme.sh/account.conf
e verranno riutilizzati quando necessario.
Per prima cosa devi accedere al tuo account DNSPod per ottenere la chiave API e l'ID.
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
Ok, emettiamo ora un certificato:
acme.sh --issue --dns dns_dp -d example.com -d www.example.com
DP_Id
e DP_Key
verranno salvati in ~/.acme.sh/account.conf
e verranno riutilizzati quando necessario.
4.3 API DNS CloudXNS
Per prima cosa devi accedere al tuo account CloudXNS per ottenere la chiave API e il segreto.
export CX_Key="1234"
export CX_Secret="sADDsdasdgdsf"
Ok, emettiamo ora un certificato:
acme.sh --issue --dns dns_cx -d example.com -d www.example.com
CX_Key
e CX_Secret
verranno salvati in ~/.acme.sh/account.conf
e verranno riutilizzati quando necessario.
4.4 API DNS Alibaba Cloud Aliyun
Per prima cosa devi accedere al tuo account Alibaba Cloud Aliyun per ottenere la tua chiave API https://ak-console.aliyun.com/#/accesskey
export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
Ok, emettiamo ora un certificato:
acme.sh --issue --dns dns_ali -d example.com -d www.example.com
Ali_Key
e Ali_Secret
verranno salvati in ~/.acme.sh/account.conf
e verranno riutilizzati quando necessario.
4.5 API DNS di GoDaddy
Per prima cosa devi accedere al tuo account GoDaddy per ottenere la chiave API e il segreto https://developer.godaddy.com/keys/.
Crea una chiave di produzione invece di una chiave di test.
export GD_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export GD_Secret="asdfsdafdsfdsfdsfdsfdsafd"
Ok, emettiamo ora un certificato:
acme.sh --issue --dns dns_gd -d example.com -d www.example.com
GD_Key
e GD_Secret
verranno salvati in ~/.acme.sh/account.conf
e verranno riutilizzati quando necessario.
4.6 API DNS PowerDNS
Per prima cosa devi accedere al tuo account PowerDNS per abilitare l'API e impostare il tuo token API nella configurazione https://doc.powerdns.com/md/httpapi/README/.
export PDNS_Url="http://ns.example.com:8081"
export PDNS_ServerId="localhost"
export PDNS_Token="0123456789ABCDEF"
export PDNS_Ttl=60
Ok, emettiamo ora un certificato:
acme.sh --issue --dns dns_pdns -d example.com -d www.example.com
PDNS_Url
, PDNS_ServerId
, PDNS_Token
e PDNS_Ttl
verranno salvati in ~/.acme.sh/account.conf
e verrà riutilizzato quando necessario.
4.7 API DNS di Amazon Route53
Vedi il metodo: https://github.com/Neilpang/acme.sh/wiki/How-to-use-Amazon-Route53-API
export AWS_ACCESS_KEY_ID=XXXXXXXXXX
export AWS_SECRET_ACCESS_KEY=XXXXXXXXXXXXXXX
Per emettere un certificato:
acme.sh --issue --dns dns_aws -d example.com -d www.example.com
AWS_ACCESS_KEY_ID
e AWS_SECRET_ACCESS_KEY
verranno salvati in ~/.acme.sh/account.conf
e verranno riutilizzati quando necessario.
4.8 API DNS Linode
Per prima cosa devi accedere al tuo account Linode per ottenere la tua chiave API https://manager.linode.com/profile/api
Quindi aggiungi una chiave API con etichetta ACME e copia la nuova chiave.
export LINODE_API_KEY="..."
A causa del tempo di ricarica di eventuali modifiche ai record DNS, dobbiamo utilizzare l'opzione dnssleep
per attendere almeno 15 minuti affinché le modifiche abbiano effetto.
Ok, emettiamo ora un certificato:
acme.sh --issue --dns dns_linode --dnssleep 900 -d example.com -d www.example.com
La LINODE_API_KEY
verrà salvata in ~/.acme.sh/account.conf
e verrà riutilizzata quando necessario.
4.9 API DNS DigitalOcean (nativa)
È necessario ottenere una chiave API con funzionalità di lettura e scrittura dal tuo account DigitalOcean. Vedi: https://www.digitalocean.com/help/api/.
export DO_API_KEY="75310dc4ca779ac39a19f6355db573b49ce92ae126553ebd61ac3a3ae34834cc"
Ok, emettiamo ora un certificato:
acme.sh --issue --dns dns_dgon -d example.com -d www.example.com
Dovrai generare una chiave API su https://www.namesilo.com/account_api.php Facoltativamente puoi limitare l'accesso a un intervallo IP lì.
export Namesilo_Key="xxxxxxxxxxxxxxxxxxxxxxxx"
E ora puoi emettere certificati con:
acme.sh --issue --dns dns_namesilo --dnssleep 900 -d example.com -d www.example.com
4.11 Utilizzo di API personalizzate
Se la tua API non è ancora supportata, puoi scrivere la tua API DNS.
Supponiamo che tu voglia chiamarlo "myapi":
- Crea uno script bash denominato
~/.acme.sh/dns_myapi.sh
, - Nello script devi avere una funzione chiamata
dns_myapi_add()
che verrà chiamata da acme.sh per aggiungere i record DNS. - Quindi puoi utilizzare la tua API per emettere certificati come questo:
acme.sh --issue --dns dns_myapi -d example.com -d www.example.com
5. Riepilogo
L'applicazione e l'installazione del certificato SSL per il nome di dominio gratuito di Let's Encrypt Wildcard sono relativamente semplici. Attualmente possiamo richiedere l'applicazione e l'installazione di Let's Encrypt per il nome di dominio SSL tramite script. Credo che presto tutti i principali pannelli di controllo host VPS avranno l'applicazione e l'installazione di un dominio con un solo clic Certificati SSL.
Il certificato SSL pan-domain gratuito di Let's Encrypt richiede la verifica DNS L'appendice ha elencato le principali API di risoluzione dei nomi di dominio DNS e i comandi per l'emissione dei certificati SSL. Se stai emettendo un SSL pan-domain, sostituisci www Basta fare clic su *.