生成证书
申请证书方法太多可通过安装acme.sh工具生成证书或其他方法生成证书,可Google搜索。
1.安装acem.sh证书生成工具,以下提供3种方法安装,选其中任意一种方法安装证书工具 (温馨提示:自动升级acme.sh在root下输入 acme.sh upgrade)
请自行先安装curl 或 wget 或 git
curl https://get.acme.sh | sh
wget -O - https://get.acme.sh | sh
git clone https://github.com/acmesh-official/acme.sh.git
先安装两个依赖不然会出错
yum install socat netcat
安装
cd ./acme.sh
./acme.sh --install
通过以上代码安装acme.sh提示红色抱错 你可以按实际相关情况而定安装依赖 比如安装socat 或者 netcat
安装成功后执行 source ~/.bashrc 以确保脚本所设置的命令别名生效
source ~/.bashrc
2.生成证书 路径为/root/.acme.sh文件下 安装好后可自行查看
温馨提示:通过acme.sh生成证书有多种方法:
例如—自动DNS API集成 如:cloudflare DNS API 令牌 和 使用全局API密钥 acme.sh支持大多数dns生成证书
例如—使用DNS手动模式,等多种其他安装方法,如果你是个好学的人可Google
生成证书如下 **推荐使用443端口生成证书**
1.通过侦听80端口申请证书,如果80端口被占用,请使用443端口,请确保这些端口都打开了
sudo ~/.acme.sh/acme.sh --issue -d 域名 --standalone -k ec-256
2.如果您80在反向代理或负载均衡器后面使用非标准端口,则可以–httpport用来指定端口
sudo ~/.acme.sh/acme.sh --issue -d 域名 --standalone --httpport 端口
3.侦听443端口以颁发证书,请确保443端口开启**
sudo ~/.acme.sh/acme.sh --issue -d 域名 --alpn -k ec-256
4.如果您443在反向代理或负载均衡器后面使用非标准端口,则可以–tlsport用来指定端口
sudo ~/.acme.sh/acme.sh --issue -d 域名 --alpn --tlsport 端口
-k 表示密钥长度,后面的值可以是 ec-256 、ec-384、2048、3072、4096、8192,带有 ec 表示生成的是 ECC 证书,没有则是 RSA 证书。在安全性上 256 位的 ECC 证书等同于 3072 位的 RSA 证书
ssl_ciphers
RSA套件
ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384; #RSA套件
ECC套件
EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5; #Ecc套件
证书和密钥安装到指定路径
/ssl/ #路径可以自定义
要先在自己域名服务商解析好自己的IP
证书名称可以自定义
ecc 安装代码
sudo ~/.acme.sh/acme.sh --installcert -d 域名 --fullchainpath /ssl/xxx.crt --keypath /ssl/xxx.key --ecc
rsa 安装代码
sudo ~/.acme.sh/acme.sh --installcert -d 域名 --fullchainpath /ssl/xxx.crt --keypath /ssl/xxx.key
进入到相应目录下就可以使用生成的证书了
该证书时长为3个月
参考文章:https://www.rootfw.com/posts/d2834d54.html