导语:
之前有写了一篇 免费给网站加https 非泛域名的,这边介绍一下泛域名再阿里云上通过DNS自动验证申请证书。
非泛域名的也可以参考上面的链接。
配置 阿里云key
https://f-e-d.club/topic/use-acme-sh-deployment-let-s-encrypt-by-ali-cloud-dns-generic-domain-https-authentication.article
安装acme.sh
两种方式
第一种:
wget -O - https://get.acme.sh | sh -s email=11940083**@qq.com
第二种:
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
生成证书
官网配置 key的说明
配置阿里的秘钥
export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
执行:
source ~/.bashrc
生成证书
acme.sh --issue --dns dns_ali -d *.dingdong.site
安装
acme.sh
--install-cert -d *.dingdong.site
--key-file 你的路径/dingdong.site.key
--fullchain-file 你的路径/fullchain.cer
--reloadcmd "service nginx force-reload"
要重启nginx不然不生效
配置ngix
这边要注意的,上面我申请 *.dingdong.site 所以只能是两级的域名,不能给 api.api.dingdong.site 使用证书。不然会报服务不安全。
server
{
# 你的其他配置...
listen 443 ssl;
#强制https
ssl on;
ssl_certificate /xxx/ssl/fullchain.cer;
ssl_certificate_key /xxx/dingdong.site.key;
}
其他相关参数
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_timeout 10m;
#使用ssl_session_cache优化https下Nginx的性能
ssl_session_cache builtin:1000 shared:SSL:10m;
#OCSP Stapling 开启。OCSP是用于在线查询证书吊销情况的服务,使用OCSP Stapling能将证书有效状态的信息缓存到服务器,提高 TLS 握手速度
ssl_stapling on;
#OCSP Stapling 验证开启
ssl_stapling_verify on;
acme.sh 管理
查看 添加网站的 列表
acme.sh --list
如果误操作,或想删除之前添加的域名
acme.sh --remove -d 你的网站
查看更多
acme.sh --help
