使用 acme.sh 搭配 Let's encrypt 申請 wildcard ssl 憑證

之前一直都是使用 certbot 套件
不過換到 CentOS 8 後
這個套件到今天(2020.05.28)為止還沒支援就是
由於 certbot 是用 pythlon 開發的
所以安裝時會安裝一堆相依的套件
這也是我一直不喜歡用 certbot 的原因
會間接搞亂我的環境

後來找到 acme.sh
是使用 shell script 撰寫的
相對來說單純很多
安裝也很簡單

這個範例是搭配 Cloudflare DNS 做設定

安裝 acme.sh

我是使用 root 執行安裝的
curl  https://get.acme.sh | sh
所以安裝完會出現 /root/.acme.sh 這個資料夾


取得 Cloudflare 的 key

登入你的 cloudflare 帳號後


點選下方「Global API Key」右邊的 View
認證完後會取得一組 Key


申請 SSL 憑證

在 /root/ 下新增一個 ssl_cert.sh 檔案
其中 yourdomain.tld 為你自己的網域名稱,如 google.com
因為有指定目錄於 /etc/letsencrypt 中
所以憑證應該會出現在 /etc/letsencrypt/yourdomain.tld 下

由於是 wildcard 的關係,所以會指定兩個 domain 分別為 yourdomian.tld 及 *.yourdomain.tld
請注意,務必讓 yourdomain.tld 在第一個,如果讓 *.yourdomain.tld 在前面的話,你的資料夾就會是 *.yourdomain.tld

export CF_Key="your global api key"
export CF_Email="你的 cloudflare 登入的帳號(信箱)"
/root/.acme.sh/acme.sh --issue -d yourdomain.tld -d *.yourdomain.tld --cert-home /etc/letsencrypt --keylength 2048 --dns dns_cf \
--reloadcmd "systemctl reload nginx"

編輯上述檔案後儲存離開後
直接執行以下指令即可

sh /root/ssl_cert.sh

單一申請單獨 SSL 憑證

如果你不想申請 wildcard SSL 憑證(跟上方則一使用就好)
可以透過這個方式申請
systemctl stop nginx;
acme.sh --issue --standalone -d www.yourdomain.tld --cert-home /etc/letsencrypt --keylength 2048;
systemctl start nginx

 注意,使用 standalone 參數需要暫時停止 nginx 服務


安裝環境

  • CentOS 8
  • Nginx 1.14.1

參考文件



Comments

Post a Comment

Popular posts from this blog

CentOS7 如何新增/移除 Rich Rule for firewalld

如果要針對某個 ip 開放某個 port 需要用到 rich rule 來設定 針對 public zone 列出永久的 rule # firewall-cmd --zone=public --list-all --permanent 針對特定的 ip 開放特定的 port 這邊是針對 sql server 開放 # firewall-cmd --add-rich-rule="rule family="ipv4" source address="1.1.1.1" port port="1433" protocol="tcp" accept" --permanent 如果要移除 rich rule # firewall-cmd --permanent --remove-rich-rule 'rule family="ipv4" source address="1.1.1.1" port protocol="tcp" port="1433" accept' PS. webmin 看不到 rich rule, 所以需要用 cmd 才能設定
Read more

mac 安裝 mtr

Image
macOS 上要安裝 mtr 看似簡單 $ brew install mtr 如果沒安裝過 HomeBrew 請參考這邊 mtr 可拿來檢查點對點中間的網路狀態 它結合 ping 及 traceroute 的功能 已內建於大多數的 Linux 中 詳細的說明可參考這邊 但這邊有個坑 由於安裝好的 mtr 不在 /usr/local/sbin 中 macOS 中也不存在這這個目錄(macOS 10.14.3) 所以會出現以下的錯誤 Error: The brew link step did not complete successfully The formula built, but is not symlinked into /usr/local Could not symlink sbin/mtr /usr/local/sbin is not writable. You can try again using: brew link mtr ==> Caveats mtr requires root privileges so you will need to run sudo mtr . You should be certain that you trust any software you grant root privileges. 執行 brew link mtr 會出現 Linking /usr/local/Cellar/mtr/0.92… Error: Could not symlink sbin/mtr /usr/local/sbin is not writable. 如何設定 1. 建立目錄及設定權限 sudo mkdir /usr/local/sbin && sudo chmod ug+rwx /usr/local/sbin && sudo chown $(id -un):admin /usr/local/sbin 2. 設定 PATH 如果有裝 zsh 的話 請編輯 vi .zshrc 如果沒有使用 zsh 請編輯 vi .bash_profile 將下面的部分貼到最下方 export PA
Read more

Howto use Postman test Cors

Image
Postman 是一個很方便測試 api 的工具 沒有他我不知道人生要怎麼過啊! 開發程式上由於不同主機都一定會遇到 Cors 的問題 如果不要自己寫程式測試 那最快的方式就是用 Postman 了 請記得這邊要選「options」 然後 Header 裡面加入這兩行就可以了 這邊的變數視你的狀況而定 我的環境是利用 token 帶 jwt token 且沒有使用認證的機制 Access-Control-Request-Headers : token Access-Control-Request-Method : GET Status 回傳 200 代表有開通 Cors 如果沒開通會回傳 405 我這邊 Server side 是用 Lumen 搭配 這個套件 使用
Read more