前言
个人使用证书一般都是腾讯云或者阿里云得免费证书,但是免费证书不支持泛域名,并且一年后要重新申请再部署,如果域名较多的话,还是比较繁琐。因此,使用docker部署 acme.sh 的方式免费申请泛域名证书以及配置自动续签,保证https不会到期中断。本文的dns泛域名基于API方式,使用的是腾讯云,需要先申请腾讯云的DNS Token
一、DNS Token申请
这里使用腾讯云,所有申请DnsPod,其他类似不在赘述
二、部署 acme.sh 容器
拉取acme.sh docker镜像
docker pull neilpang/acme.sh创建容器
docker run -it -d --name acme --restart=always --net host -v /host/acme:/acme.sh -e DP_Id= 'xxxxx' -e DP_Key='xxxxx' neilpang/acme.sh daemon
三、自签泛域名证书和自动续签
自签泛域名证书
#需要注册邮箱 docker exec acme --register-account -m xxxxx@xx.xxx #开始签名证书,泛域名用* 如只申请一个去掉-d *.xx.com docker exec acme --issue --dns dns_dp -d xxx.com -d *.xxx.com --renew-hook "systemctl reload nginx"这里使用的是腾讯云dns,所以 --dns后面是 dns_dp 如果使用其他的请自行查询官网
-d 后面是你想要签名证书的域名,* 表示所有的子域名。
证书生成后,会在 /host/acme 目录下生成 xxx.com 目录,里面包含生成的证书信息,部署到nginx就可以使用了
ssl_certificate /data/acme/xxx.com_ecc/fullchain.cer;
ssl_certificate_key /data/acme/xxx.com_ecc/xxx.com.key;
--renew-hook或--reloadcmd为acme的hook,在续期成功后自动执行
额外说明:acme.sh支持四种hook,分别是pre-hook,在签发证书之前执行;post-hook,在签发证书之后执行;renew-hook,在证书续期成功之后执行;deploy-hook,在执行部署命令时执行。
当执行一次之后,这些hook及相关参数会被写入对应域名的配置文件,在之后通过cron job进行证书续期时,这四种hook都会在对应的阶段再次执行。
前三种hook只能和
--issue命令一起使用,也就是签发时必须指定相关hook参数,且官方没有现成的脚本,需要指定脚本绝对路径。deploy-hook有一个单独的--deploy命令,并且官方仓库的deploy目录下有很多写好了的hook,比如SSH、nginx等,只需要指定hook名称即可。自动续期
在宿主机添加一条定时任务,让acme去检查证书是否过期,是否能更新证书(一般提前30天即可更新证书),如果可以就会执行证书的更新。这里可以添加一下 acme.sh 的自动更新,保证 acme是最新的版本。
自动更新 acme.sh 脚本docker exec acme --upgrade --auto-upgrade添加自动更新任务
添加crontab自动更新任务 10 0 * * * docker exec acme --cron > /dev/null
评论区