Quando se trata de certificados SSL gratuitos, eu definitivamente recomendo o Let’s Encrypt. Sua inscrição é gratuita, fácil de instalar e pode ser renovado indefinidamente. Atualmente, o site principal do wzfou.com usa o certificado SSL gratuito do Let’s Encrypt. Algumas pessoas temem que não possam usar o certificado Let’s Encrypt sem um host VPS.
O certificado SSL de nome de domínio único da Let’s Encrypt promoveu enormemente a popularidade dos certificados SSL em todo o mundo, e agora a notícia ainda mais emocionante é: após incontáveis atrasos, o certificado SSL gratuito de nome de domínio pan da Let’s Encrypt Wildcard está finalmente online! Qualquer pessoa pode se inscrever gratuitamente, e o script Acme.sh pode ser usado para obter a emissão com um clique, o que é muito conveniente.
acme.sh implementa o protocolo acme e pode gerar certificados gratuitos do letsencrypt. Etapas principais: instalar acme.sh, gerar certificado, copiar certificado para nginx/apache ou outros serviços, atualizar certificado, atualizar acme.sh. O certificado SSL de nome de domínio gratuito do Let’s Encrypt Wildcard ainda é válido por três meses e será renovado automaticamente por acme.sh.
Este artigo compartilhará o aplicativo de um clique e o tutorial de uso de SSL para o certificado SSL de nome de domínio gratuito Let's Encrypt Wildcard. Para obter mais experiência de construção de sites e recursos de construção de sites, você pode tentar:
- Cinco coisas a serem observadas ao fazer saques em dinheiro do PayPal – vinculação de conta, falha no bloqueio, taxas de manuseio e tempo de saque
- Dez dicas de aceleração de CDN grátis do CloudFlare que você talvez não conheça-SSLDDOSCache
- Aceleração CDN autoconstruída - ligação reversa Nginx, aceleração de cache, atualização automática de cache e obtenção de IP real
PS: Atualizado em 6 de abril de 2018, Para obter mais certificados SSL gratuitos, consulte o tópico especial que coletei e organizei: Coleta e resumo de certificados SSL gratuitos - adicione acesso criptografado seguro HTTPS ao site gratuitamente.
PS: Atualizado em 26 de março de 2018, Let's Encrypt requer um host VPS antes de você poder se inscrever. Amigos que possuem apenas um host virtual podem tentar solicitar SSL grátis online: três certificados SSL grátis online Endereço do aplicativo. : AlwaysOnSSL, SSL grátis e FreeSSL.org.
PS: Atualizado em 15 de outubro de 2018, Tutorial detalhado de instalação do certificado SSL gratuito letsencrypt, referência: solicite e instale o certificado SSL gratuito letsencrypt para o site em três etapas simples - acme.sh renova automaticamente.
1. Preparação antes de solicitar o certificado SSL pan-domínio Let's Encrypt
Website oficial:
- HTTPS: // permite criptografar.org/
- https://github.com/neil-fat/acme.is
- HTTPS://Estou aqui.com/VPS-List/
1.1 Servidor VPS
Para instalar o certificado SSL pan-domínio gratuito Let's Encrypt Wildcard, você precisa de pelo menos um host VPS. Em relação à compra de um host VPS, você pode ler minhas análises de host VPS: Resumo de provedores de host VPS e salas de computadores conectadas à linha CN2 e. Classificação de host VPS um.
Se você não se importa com o incômodo de registro + registro, você pode escolher provedores de hospedagem VPS domésticos, como Alibaba Cloud VPS, Tencent Cloud VPS, JD Cloud VPS, etc. você pode experimentar a linha CN2 ou VPS de salas de computadores de Hong Kong ou Coreia do Sul, como Alibaba Cloud Hong Kong, CN2 VPS, Kdatacenter, etc.
1.2 Faça um bom trabalho na resolução de DNS
Let’s Encrypt suporta DNS Pod, CloudXNS, Amazon Route53, CloudFlare e outras resoluções DNS. Você precisa primeiro modificar o NS do nome de domínio.
2. Vamos criptografar a ferramenta SSL acme.sh
2.1 Instalar acme.sh
acme.sh implementa o protocolo acme e pode gerar certificados gratuitos do letsencrypt. A instalação é simples, basta um comando:
curl https://get.acme.sh | sh
Tanto usuários comuns quanto usuários root podem instalá-lo e usá-lo. Instale acme.sh em seu diretório home: ~/.acme.sh/ e crie um alias bash para sua conveniência: acme.sh= ~/.acme. sh/acme.sh
Ao mesmo tempo, acme.sh cria automaticamente um cronjob para você e detecta automaticamente todos os certificados às 0h todos os dias. Se estiver prestes a expirar e precisar ser atualizado, o certificado será atualizado automaticamente. O processo de instalação não poluirá nenhuma função e arquivo existente do sistema , e todas as modificações serão limitadas ao diretório de instalação: ~/.acme.sh/.
2.2 Obter API DNS
Atualmente acme.sh precisa usar a API DNS para verificar o nome de domínio. Aqui tomamos o DNSPOD como exemplo. Você pode encontrar a API entrando no centro do usuário.
Clique para criar uma nova API.
Finalmente, você pode copiar o ID e a chave da API.
2.3 Emissão do certificado de nome de domínio Let’s Encrypt
DNSPod é usado como demonstração aqui. Se você estiver usando outro DNS, consulte o apêndice deste artigo. Os comandos de DNS diferentes são diferentes. Execute os seguintes comandos para salvar a chave API e o ID do DNSPOD.
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
Este DP_Id e DP_Key são salvos em ~/.acme.sh/account.conf. Execute o seguinte comando para emitir um certificado de nome de domínio Let’s Encrypt:
acme.sh --issue --dns dns_dp -d wzfou.com -d *.wzfou.com
#默认签发的是RSA,如果你想签发ECC证书,请使用以下命令
acme.sh --issue --dns dns_dp -d wzfou.com -d *.wzfou.com --keylength ec-256
#可选长度有:
ec-256 (prime256v1, “ECDSA P-256”)
ec-384 (secp384r1, “ECDSA P-384”)
Todo o processo de emissão é muito rápido. Após a conclusão, você pode gerar o caminho do certificado SSL.
Agora abra o caminho do certificado. Fullchain.cer é o certificado de nome de domínio completo e wzfou.com.key é a chave. Você só precisa baixar esses dois arquivos para ativar o certificado Let’s Encrypt SSL.
3. Vamos criptografar a instalação do certificado SSL
Na verdade, todos os painéis host VPS populares já suportam certificados SSL personalizados ou aplicação com um clique e instalação de certificados SSL Let's Encrypt, como BT.cn Pagoda Panel, OneinStack, LNMP, WDCP, AppNode Panel, etc. Para obter mais métodos de instalação, consulte: Lista do painel de controle do servidor.
4. Apêndice: Obtenção e emissão de SSL pelas principais APIs de DNS
ilustrar:
- Referência do apêndice em: https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md
- Resumo do serviço de resolução de DNS: https://wzfou.com/mianfei-dns/
- Ao emitir um SSL pan-domínio, altere a parte do comando:
-d www.example.compara:-d *.example.com
4.1 API DNS CloudFlare
Primeiro você precisa fazer login na sua conta CloudFlare para obter sua chave API.
export CF_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export CF_Email="xxxx@sss.com"
Ok, vamos emitir um certificado agora:
acme.sh --issue --dns dns_cf -d example.com -d www.example.com
O CF_Key e CF_Email serão salvos em ~/.acme.sh/account.conf e serão reutilizados quando necessário.
Primeiro você precisa fazer login em sua conta DNSPod para obter sua chave API e ID.
export DP_Id="1234"
export DP_Key="sADDsdasdgdsf"
Ok, vamos emitir um certificado agora:
acme.sh --issue --dns dns_dp -d example.com -d www.example.com
O DP_Id e DP_Key serão salvos em ~/.acme.sh/account.conf e serão reutilizados quando necessário.
4.3 API DNS do CloudXNS
Primeiro você precisa fazer login em sua conta CloudXNS para obter sua chave de API e segredo.
export CX_Key="1234"
export CX_Secret="sADDsdasdgdsf"
Ok, vamos emitir um certificado agora:
acme.sh --issue --dns dns_cx -d example.com -d www.example.com
O CX_Key e o CX_Secret serão salvos em ~/.acme.sh/account.conf e serão reutilizados quando necessário.
4.4 API DNS do Alibaba Cloud Aliyun
Primeiro você precisa fazer login em sua conta Alibaba Cloud Aliyun para obter sua chave API https://ak-console.aliyun.com/#/accesskey.
export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
Ok, vamos emitir um certificado agora:
acme.sh --issue --dns dns_ali -d example.com -d www.example.com
O Ali_Key e Ali_Secret serão salvos em ~/.acme.sh/account.conf e serão reutilizados quando necessário.
4.5 API DNS GoDaddy
Primeiro você precisa fazer login em sua conta GoDaddy para obter sua chave de API e segredo https://developer.godaddy.com/keys/.
Crie uma chave de produção em vez de uma chave de teste.
export GD_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export GD_Secret="asdfsdafdsfdsfdsfdsfdsafd"
Ok, vamos emitir um certificado agora:
acme.sh --issue --dns dns_gd -d example.com -d www.example.com
O GD_Key e o GD_Secret serão salvos em ~/.acme.sh/account.conf e serão reutilizados quando necessário.
4.6 API DNS do PowerDNS
Primeiro você precisa fazer login em sua conta PowerDNS para ativar a API e definir seu API-Token na configuração https://doc.powerdns.com/md/httpapi/README/.
export PDNS_Url="http://ns.example.com:8081"
export PDNS_ServerId="localhost"
export PDNS_Token="0123456789ABCDEF"
export PDNS_Ttl=60
Ok, vamos emitir um certificado agora:
acme.sh --issue --dns dns_pdns -d example.com -d www.example.com
O PDNS_Url, PDNS_ServerId, PDNS_Token e PDNS_Ttl serão salvos em ~/.acme.sh/account.conf e será reutilizado quando necessário.
4.7 API DNS do Amazon Route53
Veja o método: https://github.com/Neilpang/acme.sh/wiki/How-to-use-Amazon-Route53-API
export AWS_ACCESS_KEY_ID=XXXXXXXXXX
export AWS_SECRET_ACCESS_KEY=XXXXXXXXXXXXXXX
Para emitir um certificado:
acme.sh --issue --dns dns_aws -d example.com -d www.example.com
O AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY serão salvos em ~/.acme.sh/account.conf e serão reutilizados quando necessário.
4.8 API DNS Linode
Primeiro você precisa fazer login na sua conta Linode para obter sua chave API https://manager.linode.com/profile/api.
Em seguida, adicione uma chave de API com o rótulo ACME e copie a nova chave.
export LINODE_API_KEY="..."
Devido ao tempo de recarga de qualquer alteração nos registros DNS, temos que utilizar a opção dnssleep para aguardar pelo menos 15 minutos para que as alterações entrem em vigor.
Ok, vamos emitir um certificado agora:
acme.sh --issue --dns dns_linode --dnssleep 900 -d example.com -d www.example.com
O LINODE_API_KEY será salvo em ~/.acme.sh/account.conf e será reutilizado quando necessário.
4.9 API DNS DigitalOcean (nativo)
Você precisa obter uma chave de API com capacidade de leitura e gravação em sua conta DigitalOcean. Consulte: https://www.digitalocean.com/help/api/.
export DO_API_KEY="75310dc4ca779ac39a19f6355db573b49ce92ae126553ebd61ac3a3ae34834cc"
Ok, vamos emitir um certificado agora:
acme.sh --issue --dns dns_dgon -d example.com -d www.example.com
Você precisará gerar uma chave API em https://www.namesilo.com/account_api.php Opcionalmente, você pode restringir o acesso a um intervalo de IP lá.
export Namesilo_Key="xxxxxxxxxxxxxxxxxxxxxxxx"
E agora você pode emitir certificados com:
acme.sh --issue --dns dns_namesilo --dnssleep 900 -d example.com -d www.example.com
4.11 Usando APIs personalizadas
Se sua API ainda não for compatível, você poderá escrever sua própria API DNS.
Vamos supor que você queira chamá-lo de ‘myapi’:
- Crie um script bash chamado
~/.acme.sh/dns_myapi.sh, - No script você deve ter uma função chamada
dns_myapi_add()que será chamada pelo acme.sh para adicionar os registros DNS. - Então você pode usar sua API para emitir um certificado assim:
acme.sh --issue --dns dns_myapi -d example.com -d www.example.com
5. Resumo
A aplicação e instalação do certificado SSL de nome de domínio gratuito Let's Encrypt Wildcard é relativamente simples. Atualmente, podemos solicitar o SSL de nome de domínio Let's Encrypt por meio de scripts. Acredito que em breve todos os principais painéis de controle de host VPS terão aplicação e instalação de pan-domínio com um clique. Certificados SSL.
O certificado SSL pan-domain gratuito do Let's Encrypt Wildcard requer verificação de DNS. O apêndice listou as principais APIs de resolução de nomes de domínio DNS e os comandos para emitir certificados SSL. www Basta clicar em *.