acme.sh及https证书实践

Posted 2021-01-29

HTTPS证书

SSL Labs 这个工具可以测试HTTPS证书平台兼容性和安全性，并打分。
crt.sh这个工具可以按通配符域名查询所有证书的详情

原理

非对称加密的典型应用，另一个是PGP加密。首先建立TCP连接，然后通过DH密钥交换算法交换密钥，具体是先协商SSL参数，然后服务端发送公钥，客户端验证公钥后产生随机数，并通过服务端公钥加密发给服务端，服务端解密后，同样生成随机数，通过客户端公钥加密发给客户端，双方计算出一样的对称密钥用于通信。

Let‘s Encrypt免费证书

Let‘s Encrypt 是一个免费、开放，自动化的证书颁发机构，由 ISRG（Internet Security Research Group）运作。ISRG 是一个关注网络安全的公益组织，其赞助商包括 Mozilla、Akamai、Cisco、EFF、Chrome、IdenTrust、Facebook等公司。
该免费证书有效期90天，使用acme.sh脚本，60天后可以自动续期。免费的总是有限制的Limits，每个注册域名，一周最多签发50个证书，还有每周5个重复证书限制，还有每小时5次失败证书限制。触发限制后，该注册域名都不能签发Let‘s Encrypt证书，后果相当严重。

acme.sh

acme.sh是一个shell脚本，用于管理Let‘s Encrypt免费证书。原理是通过命令中指定的目录和域名，判断域名所有权，签发证书，并将这些参数保存到配置文件中，以便定时更新证书。配置文件具体在证书目录的conf结尾文件中。日常使用通过命令查看，管理证书，支持更新证书后执行重启等命令。