nginx服务器使用acme.sh申请letsencrypt泛域名证书

泛域名证书可以支持一张证书为一个域名下所有子域名提供ssl服务(如*.lyz810.com)
acme.sh实现了acme协议,可以从letsencrypt上申请免费的证书

本文主要以DNSPod域名为例,通过acme.sh申请*.lyz810.com的letsencrypt证书
一、安装acme.sh
可以以普通用户或root用户安装使用

$ curl  https://get.acme.sh | sh

执行上述安装后:
1.会在用户的home下创建一个.acme.sh/的目录
2.生成一个cron任务(可以通过crontab -l查看)
3.创建一个alias,方便直接使用acme.sh

二、获取DNSPod的开发者授权
1.登录DNSPod
2.点击左侧导航的用户中心下的安全设置,点击API Token的查看(https://www.dnspod.cn/console/user/security)
3.点击创建API Token,创建一个API Token,注意token创建之后,无法再次在控制台看到完整的token,如果需要请自行保存完整token以备后续使用
4.填写token名称,根据个人喜好填写一个名称,如acme域名验证
5.生成成功,将id和token记录下来

三、申请证书

$ export DP_Id="第二步申请的ID"
$ export DP_Key="第二步申请的token"
$ acme.sh --issue --dns dns_dp -d "*.lyz810.com" -d lyz810.com

注意,由于泛域名带有*所以要用引号把域名引起来,普通域名(如www.lyz810.com)不需要
这里申请了2个域名一个是*.lyz810.com,另一个是lyz810.com,后者是为了访问https://lyz810.com生效而添加的
执行完上述代码,会在DNSPod控制台看到增加了一条TXT解析记录_acme-challenge,脚本会等待一段时间让DNS配置生效
验证成功后,会自动删除刚刚添加的TXT记录
生成的证书文件在~/.acme.sh/*.lyz810.com/中

四、安装证书
第三步生成的证书不建议直接使用,需要进行证书的安装
本例中nginx的ssl证书配置如下:

ssl_certificate /etc/nginx/ssl/fullchain.pem;
ssl_certificate_key /etc/nginx/ssl/privkey.pem;

对应的安装命令为

$ acme.sh --installcert  -d  "*.lyz810.com"   \
        --key-file   /etc/nginx/ssl/privkey.pem \
        --fullchain-file /etc/nginx/ssl/fullchain.pem \
        --reloadcmd  "nginx -s reload"

Nginx源码安装自动升级脚本

一个自动升级源码安装的nginx的脚本

脚本可以获取当前nginx版本、官网最新版本
如果有更新,则会自动下载、解压,并根据当前的配置进行编译,安装
最后会重启nginx,并删除下载的文件

#!/bin/bash
nginx=/usr/sbin/nginx;
localVersion=`nginx -v 2>&1 | cut -c22-`
serverVersion=`curl https://nginx.org/en/CHANGES > .nginxupdate 2>/dev/null && sed -n 2p .nginxupdate | cut -d' ' -f4`
echo 当前安装版本为:$localVersion,最新版本为$serverVersion
rm -rf .nginxupdate
if [ "$localVersion" = "$serverVersion" ]; then
echo 当前已是最新版本
exit 0
fi
echo 正在下载最新版本$serverVersion
wget https://nginx.org/download/nginx-$serverVersion.tar.gz && tar -xzvf nginx-$serverVersion.tar.gz
cd nginx-$serverVersion
./configure `nginx -V 2>&1 | sed -n 5p | cut -d':' -f2-`
make && make install
$nginx -s stop && $nginx
cd ..
rm -rf nginx-$serverVersion.tar.gz
rm -rf nginx-$serverVersion
echo 升级完毕
$nginx -V