如何白嫖一个免费的泛域名SSL证书

Posted Java知音_

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何白嫖一个免费的泛域名SSL证书相关的知识,希望对你有一定的参考价值。

前提

为了给个人博客提速,全部静态资源放到云上的对象存储中,并且加了CDN,耗费了不少RMB。新申请的域名也备案通过了,但是SSL证书一般需要按年付款,看了下「鹅云」上最便宜的泛域名证书也裤头一紧:

毕竟至少是一年一付,金额也不算少(4块钱一天),感觉钱包压力有点大。于是通过多种搜索方式,找到了一种可行的白piao泛域名SSL证书的方案,并且应用于已经备案好的个人博客域名上。最终子域名可以通过HTTPS协议访问,效果如左下的图:

那么开始发车!

本文只适用于在鹅云上备案、解析的域名,已经把成功把HTTPS应用于鹅云的CDN,其他云厂商没有进行试验,有兴趣的伙伴可以自行按照下文的思路重演。

安装ACME

目前使用量最大的免费SSL证书就是Let’s Encrypt,自2018-03开始,Let’s Encrypt官方发布上线了免费的SSL泛域名证书,目前通过DNS方式获取比较快,国内可以通过鹅云的DNSPod域名API或者猫云域名API自动签发Let’s Encrypt泛域名证书。因为鹅云使用的就是DNSPod域名,并且鹅云和DNSPod的账号是打通的,可以使用wx直接扫码登录。下文需要对鹅云和DNSPod进行操作,为了简化证书申请过程,需要提前安装acme.sh。acme.sh实现了acme协议,可以从Let’s Encrypt生成免费的证书,自动创建cron任务, 每天零点自动检测所有的证书,如果发现证书快过期了,需要更新,则acme.sh会自动更新证书,安装过程不会污染已有的系统任何功能和文件,所有的修改都限制在安装目录中。

先进行依赖下载和更新。如果服务器是CentOS系统,使用下面的命令:

yum update && yum install curl -y && yum install cron -y && yum install socat -y

如果服务器是Debian/Ubuntu系统,则使用下面的命令:

apt-get update && apt-get install curl -y && apt-get install cron -y && apt-get install socat -y

接着使用下面的命令安装acme.sh

curl https://get.acme.sh | sh

如果控制台输出:

.....
Good, bash is found, so change the shebang to use....
OK
Install success!

说明acme.sh安装成功。

注册并配置DNSPod的秘钥

如果使用了鹅云的服务,直接wx扫码就可以登录DNSPod,否则需要注册绑定。登录之后,点击账号中心的「密钥管理」

然后命名并且创建一个密钥:

记得要保存好秘钥的IDToken,后面的步骤需要用到这两个配置。

申请证书

申请好DNSPod的秘钥,得到IDToken之后,在服务器的环境变量中添加这两个值,执行命令:

export DP_Id='你的ID'
export DP_Key='你的Token'

例如:

export DP_Id='123456'
export DP_Key='xxxyyyzzz'

接着使用acme.sh申请签发证书,执行命令:

~/.acme.sh/acme.sh --issue --dns dns_dp -d throwable.club -d *.throwable.club

这里throwable.club是笔者的博客域名,如果需要颁发你自己的域名的SSL证书,这里替换为你的域名即可。接着静静等待acme.sh的脚本程序执行完毕,如果过程中没有发生其他意外,那么证书申请成功后的控制台日志如下:

证书文件会自动存放在/root/.acme.sh/域名目录下,例如/root/.acme.sh/throwable.club目录。查看/root/.acme.sh/throwable.club目录的内容:

其中,fullchain.cer就是证书文件内容,而throwable.club.key就是证书的私钥」。然后在鹅云的CDNHTTPS配置中指定一下证书的配置即可:

提交后,CDN会重新部署,数分钟之后就会生效。最后注意一下:

  • 申请下来的泛域名SSL免费证书有效期只有3个月,但是acme.sh每晚零点会自动检测证书的有效期并且进行续期。

  • 目前鹅云上的CDN如果使用了Let’s Encrypt的证书,暂时不支持自动续期,需要手动续期,也就是每隔三个月要把/root/.acme.sh/域名目录下的fullchain.cer域名.key的内容更新到CDN配置中提交刷新一下。

小结

Just enjoy yourself.

参考资料:

  • https://github.com/acmesh-official/acme.sh

  • 互联网中的资料

(本文完 c-1-d e-a-20200814)

推荐:

主流Java进阶技术(学习资料分享)

PS:因为公众号平台更改了推送规则,如果不想错过内容,记得读完点一下“在看”,加个“星标”,这样每次新文章推送才会第一时间出现在你的订阅列表里。点“在看”支持我们吧!

以上是关于如何白嫖一个免费的泛域名SSL证书的主要内容,如果未能解决你的问题,请参考以下文章

通过 acme.sh 申请 Zero SSL 免费泛域名证书

通过 acme.sh 申请 Zero SSL 免费泛域名证书

通过 acme.sh 申请 Zero SSL 免费泛域名证书

如何申请免费SSL证书?

如何在阿里云申请免费SSL证书

如何使用Let's Encrypt永久免费SSL证书