域名证书制作
- 使用acme制作域名证书:
- 使用freessl官网制作证书
- 泛域名证书(有效期三个月)
- 单域名证书(有效期一年以上)
方法一
1. 安装
脚本安装
默认安装路径: /root/.acme.h
wget -O - https://get.acme.sh | sh
curl https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh | INSTALLONLINE=1 sh
wget -O - https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh | INSTALLONLINE=1 sh
2. 需求
例:
你的域名为 baidu.com
子域名:aaa.baidu.com , bbb.baidu.com , ccc.baidu.com
想同时子域名使用一张证书,则需要制作泛域名证书,如想单独证书,则制作单域名证书
使用-d 分开
3. 证书制作
两种方式添加:
- 手动添加解析制作
- DNS_API自动添加
方式1:手动添加解析
-
泛域名证书
cd /root/.acme.sh acme.sh --issue -d baidu.com -d *.baidu.com --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please如果多个域名合成一张证书如下
cd /root/.acme.sh acme.sh --issue -d baidu.com -d *.baidu.com -d google.com -d *.google.com --dns --yes-I-know-dns-manual-mode-enough-go- ahead-please
-
单域名证书(如果是制作泛域名的直接跳过到下一步)
cd /root/.acme.sh acme.sh --issue -d baidu.com -d aaa.baidu.com --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please例:主域名证书(改成www即可)
cd /root/.acme.sh acme.sh --issue -d baidu.com -d www.baidu.com --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please -
执行完命令后添加域名解析
- TXT类型
- CNAME类型
登录域名管理,添加相应key 和value即可,需要等上二三分钟生效时间。具体可以按一下验证为准
- 验证
使用dnslookup命令
Windows系统进入命令状态;(开始菜单- 运行- CMD[回车]);输入命令" nslookup -q=txt xxx.com" ,查看返回的结果与设置的是否一致即可,
下图为Linux操作nslookup -q=txt baidu.com
- 执行生成证书命令
必须检测有添加到TXT或者CNAME验证才可以成功制作
制作完生成:baidu.com.crt 、baidu.com.key 、baidu.com.pemacme.sh --renew --force -d baidu.com -d *.baidu.com --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please cd baidu.com/ mv fullchain.cer baidu.com.crt openssl pkcs12 -export -in baidu.com.crt -inkey baidu.com.key -passout pass:"123456" -out baidu.com.pfx openssl pkcs12 -in baidu.com.pfx -nodes -out baidu.com.pem -password pass:"123456"
方式2:DNS_API自动添加
这里以阿里云的DNS_API为例
路径:/root/.acme.sh/dnsapi
文件:dns_ali.sh
查看dns_ali.sh ,我们只需要在.acme.sh 配置SAVED_Ali_Key 和SAVED_Ali_Secret即可
- 生成证书
cd /root/.acme.sh rm - rf ./*baidu.com ./acme.sh --issue --dns dns_ali -d baidu.com -d *.baidu.com cd baidu.com mv fullchain.cer baidu.com.crt openssl pkcs12 -export -in baidu.com.crt -inkey baidu.com.key -passout pass:"123456" -out baidu.com.pfx openssl pkcs12 -in baidu.com.pfx -nodes -out baidu.com.pem -password pass:"123456" - 如果是需要制作单域名证书
如:baidu.com 主域名证书
把 -d baidu.com -d *.baidu.com
改为:-d baidu.com -d www.baidu.com
方法二
- 注册一个账号
