linux
直接用acme.sh,用ip地址acme.sh会直接识别到是ip然后用新式的配置,只需要几条命令就可以开始了,需要替换邮箱
curl https://get.acme.sh | sh -s email=example@example.com
source ~/.bashrc
acme.sh --set-default-ca --server letsencrypt然后只需要一条命令就可以申请好,需要替换ip地址,替换端口号或网站根目录
#80端口没有被占用时,或通过web服务器的80将/.well-known/acme-challenge*请求反向代理到其他端口
acme.sh --issue -d x.x.x.x --standalone --httpport 80 --server letsencrypt --cert-profile shortlived --days 3
#已经运行了web服务器监听80端口时,指定根目录,验证文件在/var/www/html/.well-known/acme-challenge
acme.sh --issue -d x.x.x.x --webroot /var/www/html --server letsencrypt --cert-profile shortlived --days 3这样就非常简单的申请好了,接下来一条命令就可以安装到指定目录,启用自动续订,给其他程序读的权限,替换ip地址和续订完成后要执行的命令
mkdir -p /ssl
acme.sh --install-cert -d x.x.x.x --key-file /ssl/private.key --fullchain-file /ssl/fullchain.crt --reloadcmd "systemctl restart caddy"
chmod 644 /ssl/fullchain.crt
chmod 644 /ssl/private.key linux其实没啥好说的,acme.sh用得人多,他既然已经支持了那大多数人就不会出现什么问题
windows
acme.sh在windows上用不了,目前我只找到了lego是比较简单好用的,我真是太喜欢go了,文件永远就一个,不需要一个专门文件夹去塞一个这么小的程序。
官方文档,首先我吃了一个大坑lego [global options] command [command options],这个玩意儿对于全局参数和命令参数的位置是严格要求的,我闭着眼睛填参数,告诉我没有这个参数,我对比了半天才发现这个问题,它的报错怎么能是通用的找不到呢,难道不是这个参数不能在这儿吗。
lego只要下载好,一条命令就能解决
::80端口没有被占用时,或通过web服务器的80将/.well-known/acme-challenge*请求反向代理到其他端口
lego --email example@example.com --domains="x.x.x.x" --http --http.port ":80" --accept-tos --path "C:\lego" --disable-cn run --profile shortlived
::已经运行了web服务器监听80端口时,指定根目录,验证文件在C:\www\.well-known\acme-challenge
lego --email example@example.com --domains="x.x.x.x" --http --http.webroot="C:\www" --accept-tos --path "C:\lego" --disable-cn run --profile shortlived–domains ip地址
–http.port 监听端口,如果不监听80需要有前置web服务端转发请求
–http.webroot 网站根目录,示例中验证文件会在C:\www\.well-known\acme-challenge
–path lego相关文件存放目录,示例中证书文件会在C:\lego\certificates
–disable-cn 去掉CN,这一点很重要,新的IP证书强制不允许使用CN,如果在csr中指定了CN会直接被拒绝
–profile 必须指定为shortlived,加入这个参数后将和和我这个新证书一样是160小时有效期,IP证书强制短有效期
按照示例,新的证书路径应该是公钥C:\lego\certificates\x.x.x.x.crt私钥C:\lego\certificates\x.x.x.x.key
