使用 ACME 申请免费“永久”的 SSL 证书

三个多月没写文章了，上半年经历了被裁员，找工作，入职，转正等一系列事情，目前总算是尘埃落定了，继续开始搞创作

前言

通过 https 协议访问网站时，SSL 证书确保了数据传输的安全性。目前，大多数云服务提供商提供的免费证书有效期只有 90 天，想要更长时间的证书则需要付费。这意味着每隔 90 天就需要重新签发并替换证书文件。

折腾一番后，我找到了一个免费且优雅的方案，只需要在服务器上安装相关脚本，就能申请到免费的域名证书，它会定期检查证书的有效期，实现到期自动续期与更新，从而有效地获得了一个“永久”的证书。

本文就跟大家详细分享下这个方案，欢迎各位感兴趣的开发者阅读本文。

环境搭建

我们需要用到ACME这个程序来完成证书的申请与签发。

程序安装

首先，我们需要通过SSH连接到服务器，通过以下命令来安装：

curl https://get.acme.sh | sh 

安装程序会自动做以下操作：

• 自动把acme.sh安装到你的 home 的.acme.sh目录下，即~/.acme.sh/
• 自动创建一个 bash的别名，方便命令行的直接使用: alias acme.sh=~/.acme.sh/acme.sh
• 自动为你创建 cron 任务， 每天 0:00 点自动检测所有的证书， 如果快过期了， 需要更新，则会自动更新证书。

更改默认证书

因为 acme 已经被 ZeroSSL 收购，其默认的证书方式为 ZeroSSL ，但此证书生成时会携带邮箱，因此需要更换为letsencrypt

acme.sh --set-default-ca --server letsencrypt 

申请泛域名证书

泛域名证书是一种能够为同一个主域名（例如 kaisir.cn ）下的所有子域名（如 www.kaisir.com 、resource.kaisir.cn 等）提供安全加密的数字证书。能够通过一个单一的证书来保护主域名及其所有子域名的数据传输，使得网站管理者无需为每个子域名分别购买和管理多个 SSL 证书。

通过 acme 申请的证书，可以绑定满足该通配符型规则的任意三级子域名，例如：

www.kaisir.cn test.kaisir.cn aaa.kaisir.cn bb.kaisir.cn ... 

如果你对数字证书比较感兴趣，可以移步我的另一篇文章：数字证书的理解

获取 DNS API 参数

acme 提供的泛域名证书只能通过 dns 的形式来做验证，因此我们需要进入域名解析控制台（你可以在此处找到你的域名解析提供商）创建 API ID 和 API Key 。

我这里以阿里云为例，登录成功后，去到阿里云的RAM 访问控制面板来创建用户。

• 创建完用户之后，点击添加权限按钮

• 勾选第一页的所有权限

• 复制AccessKey ID和AccessKey Secret下来，保存好。

配置环境变量

由于每个平台的环境变量名称是不一样的，因此你需要去acme-dnsapi 网站里找到你平台的变量名。我这里以阿里云为例，将 key 和 secret 换成上一步创建的即可。

export Ali_Key="key" export Ali_Secret="secret" 

生成证书

做完上述操作后，我们的准备工作就做完了，可以使用acme.sh脚本来创建证书了。

acme.sh --issue --dns dns_ali -d kaisir.cn -d '*.kaisir.cn' --dnssleep 300 --debug 

• --dns 用于指定 dns 校验平台，我这里是阿里云
• 第一个-d是你的网站主域名，第二个是泛域名
• --dnssleep用于等待操作，因为把 txt 添加到后台，解析不一定能做到立刻生效，所以需要延时一下，此处我设置了 300 秒的延时，执行命令的过程会有个等待倒计时。
• --debug开启调试模式，创建过程中会打印详细的日志出来，方便定位错误。

创建成功后，你将看到如下所示的内容：

安装证书

最后，我们只需要找到创建好的证书，将其在服务器上的路径填写到 nginx 中即可。脚本会在证书快到期时，自动续期并创建相关文件。

本章节将以我的服务器为例，跟大家分享下如何去做相关的配置。

配置路径映射

如果你的服务是直接运行在宿主机上的，请跳过这一步。

我的服务是运行在 docker 容器里的，因此需要先把服务器的证书路径映射进容器中，此处我以docker-compose为例，在volumes节点下添加映射即可。

 nginx-server: image: nginx:1.18.0 container_name: local_nginx volumes: - /root/.acme.sh/kaisir.cn_ecc:/usr/share/acme 

注意：如果你只使用了 docker ，则需要在运行docker run指令时，通过添加-v参数来添加路径映射，例如docker run -v /root/.acme.sh/kaisir.cn_ecc:/usr/share/acme。

• /root/.acme.sh/kaisir.cn_ecc 是宿主机上的路径
• /usr/share/acme是容器内部的路径

如果你对 docker 不是很了解，可以移步我的另一篇文章：使用 docker 来编排 Web 应用

配置 nginx

随后，我们就可以打开nginx的配置文件，指定ssl 证书的位置即可。

• /usr/share/acme/就是我们上一步所映射出来的路径
• fullchain.cer就是我们申请到的泛域名证书

server { # 配置 ssl 证书 ssl_certificate /usr/share/acme/fullchain.cer; ssl_certificate_key /usr/share/acme/kaisir.cn.key; } 

实现效果

最后，我们重启 nginx ，通过浏览器访问网站就能看到证书信息了

• 访问子域名的服务也是正常的

• 证书详情如下所示

写在最后

至此，文章就分享完毕了。

我是神奇的程序员，一位前端开发工程师。

如果你对我感兴趣，请移步我的个人网站，进一步了解。

• 文中如有错误，欢迎在评论区指正，如果这篇文章帮到了你，欢迎点赞和关注
• 本文首发于神奇的程序员公众号，未经许可禁止转载