免费ssl证书获取以及部署

免费ssl证书获取以及部署

1、注册

首先注册 freessl.cn/

2、添加域名（在freessl网站操作）

在该网站点击“添加域名”，假设我想给 *.xxx.com 添加证书，就是所有二级域名都有同样的证书。

3、配置域名（在我们自己的域名管理后台操作）

几乎所有的域名管理后台，如阿里，百度，腾讯都是类似的。在我们使用的域名管理后台添加一条记录。
freessl网站会告诉你添加内容，一般是3个字段，主机记录，记录类型，记录值，安装好之后稍等1分钟，然后点击它的验证按钮。必须要验证通过。
选择域名时，如果是所有二级域名选同一条记录最简单。
如果 不同二级域名指向不同ip，就分别配置同样内容。

4、安装 acme.sh（我们自己的服务器操作）

安装 acme.sh 这个命令程序，在网站 blog.freessl.cn/acme-quick-start/ 有直接提示，先外网，如太慢则改用内网那个命令。
外网标准命令如下

curl https://get.acme.sh | sh -s email=my@example.com

替代的命令国内，如下

curl https://gitcode.net/cert/cn-acme.sh/-/raw/master/install.sh?inline=false | sh -s email=my@example.com

5、执行 acme.sh 部署命令（我们自己的服务器操作）

执行 acme.sh 部署命令，这个命令的内容 freessl网站会直接给你的。一个字都不用改。
比如

acme.sh --issue -d *.xxx.com  --dns dns_dp --server https://acme.freessl.cn/v2/DV90/directory/ix9k6x2flv9vr

6、下载证书（我们自己的服务器操作）

执行如下命令，下载证书到自己的机器。我们会得到4个文件，证书（cert），密钥（cert key），CA证书（CA cert），证书链（full chain certs）

acme.sh --install-cert -d *.xxx.com \
--key-file       /root/.acme.sh/*.xxx.com/*.xxx.com.key  \
--fullchain-file /root/.acme.sh/*.xxx.com/fullchain.cer \
--reloadcmd     "systemctl restart nginx"

注意，这条命令执行完之后，屏幕会提示 acme 把 ssl 证书安装在哪个目录，自己用本子记下来。

7、修改nginx配置文件并重启。（我们自己的服务器操作）

 server_name  a.xxx.com; # 这里根据你自己的项目决定用通配符还是二级域名
 listen      443 ssl http2 ;
 ssl on;
 ssl_certificate         /root/.acme.sh/*.xxx.com/fullchain.cer; # 这是证书链文件
 ssl_certificate_key     /root/.acme.sh/*.xxx.com/*.xxx.com.key; # 这是密钥文件

我自己的实践是只要配这两个参数即可。
最后重启nginx搞定。

8、有效期

有效期1天，一日司令。
至于延长有效期的方法我也没看。

9、其他推荐

因为这个一天有效期，实际我并没有使用这个网站的证书
而是使用了 letsencrypt.osfipin.com ，该网站名称叫做 来此加密。
然后在里面选择机构， Let’s Encrypt
这家机构是非常可靠的，有效期3个月，可以续签，就在来此加密网站续签。

本作品采用《CC 协议》，转载必须注明作者和本文链接