免費ssl證書獲取以及部署

免費ssl證照獲取以及部署

1、註冊

首先註冊 freessl.cn/

2、新增域名（在freessl網站操作）

在該網站點選“新增域名”，假設我想給 *.xxx.com 新增證照，就是所有二級域名都有同樣的證照。

3、配置域名（在我們自己的域名管理後臺操作）

幾乎所有的域名管理後臺，如阿里，百度，騰訊都是類似的。在我們使用的域名管理後臺新增一條記錄。
freessl網站會告訴你新增內容，一般是3個欄位，主機記錄，記錄型別，記錄值，安裝好之後稍等1分鐘，然後點選它的驗證按鈕。必須要驗證透過。
選擇域名時，如果是所有二級域名選同一條記錄最簡單。
如果 不同二級域名指向不同ip，就分別配置同樣內容。

4、安裝 acme.sh（我們自己的伺服器操作）

安裝 acme.sh 這個命令程式，在網站 blog.freessl.cn/acme-quick-start/ 有直接提示，先外網，如太慢則改用內網那個命令。
外網標準命令如下

curl https://get.acme.sh | sh -s email=my@example.com

替代的命令國內，如下

curl https://gitcode.net/cert/cn-acme.sh/-/raw/master/install.sh?inline=false | sh -s email=my@example.com

5、執行 acme.sh 部署命令（我們自己的伺服器操作）

執行 acme.sh 部署命令，這個命令的內容 freessl網站會直接給你的。一個字都不用改。
比如

acme.sh --issue -d *.xxx.com  --dns dns_dp --server https://acme.freessl.cn/v2/DV90/directory/ix9k6x2flv9vr

6、下載證照（我們自己的伺服器操作）

執行如下命令，下載證照到自己的機器。我們會得到4個檔案，證照（cert），金鑰（cert key），CA證照（CA cert），證照鏈（full chain certs）

acme.sh --install-cert -d *.xxx.com \
--key-file       /root/.acme.sh/*.xxx.com/*.xxx.com.key  \
--fullchain-file /root/.acme.sh/*.xxx.com/fullchain.cer \
--reloadcmd     "systemctl restart nginx"

注意，這條命令執行完之後，螢幕會提示 acme 把 ssl 證照安裝在哪個目錄，自己用本子記下來。

7、修改nginx配置檔案並重啟。（我們自己的伺服器操作）

 server_name  a.xxx.com; # 這裡根據你自己的專案決定用萬用字元還是二級域名
 listen      443 ssl http2 ;
 ssl on;
 ssl_certificate         /root/.acme.sh/*.xxx.com/fullchain.cer; # 這是證照鏈檔案
 ssl_certificate_key     /root/.acme.sh/*.xxx.com/*.xxx.com.key; # 這是金鑰檔案

我自己的實踐是隻要配這兩個引數即可。
最後重啟nginx搞定。

8、有效期

有效期1天，一日司令。
至於延長有效期的方法我也沒看。

9、其他推薦

因為這個一天有效期，實際我並沒有使用這個網站的證照
而是使用了 letsencrypt.osfipin.com ，該網站名稱叫做 來此加密。
然後在裡面選擇機構， Let’s Encrypt
這家機構是非常可靠的，有效期3個月，可以續簽，就在來此加密網站續簽。

本作品採用《CC 協議》，轉載必須註明作者和本文連結