الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل
acme.sh

البرنامج النصي ACME Shell: acme.sh

فري بي إس ديأوبن بي إس دينت بي إس ديماكأوبونتوويندوزسولاريسDragonFlyBSDأومنيوس

فحص القشرةPebbleStrictDockerHub


  • عميل بروتوكول ACME مكتوب فقط بلغة Shell (Unix Shell).

  • التنفيذ الكامل لبروتوكول ACME.

  • دعم شهادات ECDSA

  • دعم شهادات SAN وأحرف البدل

  • بسيطة وقوية وسهلة الاستخدام للغاية. ما عليك سوى 3 دقائق لتعلمها.

  • متوافق مع Bash وDash وSh.

  • مكتوب بالكامل بلغة Shell دون الاعتماد على لغة بايثون.

  • برنامج نصي واحد فقط لإصدار شهاداتك وتجديدها وتثبيتها تلقائيًا.

  • لا يتطلب الوصول إلى root/sudoer .

  • عامل ميناء جاهز

  • IPv6 جاهز

  • إشعارات وظيفة Cron للتجديد أو الخطأ وما إلى ذلك.

ربما يكون هذا هو easiest & smartest برنامج نصي لإصدار الشهادات المجانية وتجديدها تلقائيًا.

ويكي: https://github.com/acmesh-official/acme.sh/wiki

لمحبي دوكر: acme.sh؟ عامل ميناء

تويتر: @neilpangxa

中文说明

من:

  • FreeBSD.org

  • روبي-china.org

  • بروكسموكس

  • com.pfsense

  • Loadbalancer.org

  • discourse.org

  • سينمينمود

  • splynx

  • opnsense.org

  • لوحة ويب CentOS

  • lnmp.org

  • أكثر...

نظام التشغيل الذي تم اختباره

لا حالة منصة
1 ماك ماك أو إس إكس
2 ويندوز Windows (يتضمن cygwin مع curl وopensl وcrontab)
3 فري بي إس دي فري بي إس دي
4 سولاريس سولاريس
5 أوبونتو أوبونتو
6 غير متوفر com.pfsense
7 أوبن بي إس دي أوبن بي إس دي
8 نت بي إس دي نت بي إس دي
9 DragonFlyBSD DragonFlyBSD
10 أومنيوس أومنيوس
11 لينكس ديبيان
12 لينكس سينت أو إس
13 لينكس openSUSE
14 لينكس جبال الألب لينكس (مع حليقة)
15 لينكس أركلينكس
16 لينكس فيدورا
17 لينكس كالي لينكس
18 لينكس أوراكل لينكس
19 لينكس ماجيا
10 لينكس جنتو لينكس
11 لينكس كليرلينكس
22 ----- سحابة لينكس #111
23 ----- OpenWRT: تم اختباره ويعمل. انظر صفحة الويكي
24
 Proxmox: انظر Proxmox VE Wiki. الإصدار 4.x، 5.0، 5.1، الإصدار 5.2 وما فوق

تحقق من مشروع الاختبار لدينا:

https://github.com/acmesh-official/acmetest

كاليفورنيا المدعومة

  • ZeroSSL.com CA (افتراضي)

  • Letsencrypt.org كاليفورنيا

  • BuyPass.com كاليفورنيا

  • SSL.com كاليفورنيا

  • Google.com CA العام

  • وضع بيبل الصارم

  • أي CA آخر متوافق مع RFC8555

الأوضاع المدعومة

  • وضع ويب روت

  • الوضع المستقل

  • وضع tls-alpn المستقل

  • وضع أباتشي

  • وضع نجينكس

  • وضع DNS

  • وضع الاسم المستعار DNS

  • وضع عديمي الجنسية

1. كيفية التثبيت

1. التثبيت عبر الإنترنت

تحقق من هذا المشروع: https://github.com/acmesh-official/get.acme.sh

 حليقة https://get.acme.sh | sh -s [email protected]

أو:

 wget -O - https://get.acme.sh | sh -s [email protected]

2. أو قم بالتثبيت من git

انسخ هذا المشروع وابدأ التثبيت:

 استنساخ بوابة https://github.com/acmesh-official/acme.sh.gitcd ./acme.sh
./acme.sh --install -m [email protected]

don't have to be root بعد ذلك، على الرغم من it is recommended .

التثبيت المتقدم: https://github.com/acmesh-official/acme.sh/wiki/How-to-install

سيقوم المثبت بتنفيذ 3 إجراءات:

  1. قم بإنشاء ونسخ acme.sh إلى منزلك dir ( $HOME ): ~/.acme.sh/ . سيتم وضع جميع الشهادات في هذا المجلد أيضًا.

  2. إنشاء اسم مستعار لـ: acme.sh=~/.acme.sh/acme.sh .

  3. أنشئ مهمة كرون يومية للتحقق من الشهادات وتجديدها إذا لزم الأمر.

مثال لإدخال كرون:

 0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null

بعد التثبيت، يجب عليك إغلاق المحطة الحالية وإعادة فتحها حتى يصبح الاسم المستعار ساري المفعول.

حسنًا، أنت جاهز لإصدار الشهادات الآن.

عرض رسالة المساعدة:

 root@v1:~# acme.sh -h

2. فقط قم بإصدار شهادة

مثال 1: مجال واحد.

 acme.sh --issue -d example.com -w /home/wwwroot/example.com

أو:

 acme.sh --issue -d example.com -w /home/username/public_html

أو:

 acme.sh --issue -d example.com -w /var/www/html

مثال 2: مجالات متعددة في نفس الشهادة.

 acme.sh --issue -d example.com -d www.example.com -d cp.example.com -w /home/wwwroot/example.com

المعلمة /home/wwwroot/example.com أو /home/username/public_html أو /var/www/html هي المجلد الجذر للويب حيث تستضيف ملفات موقع الويب الخاص بك. يجب أن يكون لديك write access إلى هذا المجلد.

الوسيطة الثانية "example.com" هي المجال الرئيسي الذي تريد إصدار الشهادة له. يجب أن يكون لديك مجال واحد على الأقل هناك.

يجب عليك الإشارة إلى كافة النطاقات وربطها بنفس webroot dir: /home/wwwroot/example.com .

سيتم وضع الشهادات في ~/.acme.sh/example.com/

سيتم تجديد الشهادات تلقائيًا كل 60 يومًا.

المزيد من الأمثلة: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

3. قم بتثبيت الشهادة على Apache/Nginx وما إلى ذلك.

بعد إنشاء الشهادة، ربما تريد تثبيت/نسخ الشهادة إلى Apache/Nginx أو خوادم أخرى. يجب عليك استخدام هذا الأمر لنسخ الشهادات إلى الملفات المستهدفة، ولا تستخدم ملفات الشهادات الموجودة في المجلد ~/.acme.sh/ ، فهي للاستخدام الداخلي فقط، وقد تتغير بنية المجلد في المستقبل.

مثال أباتشي :

 acme.sh --install-cert -d example.com
 --cert-file /path/to/certfile/in/Apache/cert.pem
  --key-file /path/to/keyfile/in/Apache/key.pem
  --fullchain-ملف /path/to/fullchain/certfile/Apache/fullchain.pem
 --reloadcmd "إعادة تحميل خدمة apache2 بقوة"

مثال إنجينكس :

 acme.sh --install-cert -d example.com
 --key-file /path/to/keyfile/in/nginx/key.pem
  --fullchain-file /path/to/fullchain/nginx/cert.pem
 --reloadcmd "إعادة تحميل خدمة nginx بقوة"

مطلوب المجال فقط، وجميع المعلمات الأخرى اختيارية.

يتم الاحتفاظ بمعلومات الملكية والإذن للملفات الموجودة. يمكنك إنشاء الملفات مسبقًا لتحديد الملكية والإذن.

قم بتثبيت/نسخ الشهادة/المفتاح إلى مسار Apache أو Nginx للإنتاج.

سيتم تجديد الشهادة كل 60 يومًا بشكل افتراضي (وهو أمر قابل للتكوين). بمجرد تجديد الشهادة، ستتم إعادة تحميل خدمة Apache/Nginx تلقائيًا عن طريق الأمر: service apache2 force-reload أو service nginx force-reload .

يرجى توخي الحذر: إن reloadcmd مهم جدًا. يمكن تجديد الشهادة تلقائيًا، ولكن بدون "reloadcmd" الصحيح، قد لا يتم نقل الشهادة إلى خادمك (مثل nginx أو apache)، فلن يتمكن موقع الويب الخاص بك من عرض الشهادة المجددة خلال 60 يومًا.

4. استخدم الخادم المستقل لإصدار الشهادة

(يتطلب أن تكون جذرًا/sudoer أو أن يكون لديك إذن للاستماع على المنفذ 80 (TCP))

يجب أن يكون المنفذ 80 (TCP) متاحًا للاستماع إليه، وإلا سيُطلب منك تحريره والمحاولة مرة أخرى.

 acme.sh --issue --standalone -d example.com -d www.example.com -d cp.example.com

المزيد من الأمثلة: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

5. استخدم خادم SSL مستقل لإصدار الشهادة

(يتطلب أن تكون جذرًا/sudoer أو أن يكون لديك إذن للاستماع على المنفذ 443 (TCP))

يجب أن يكون المنفذ 443 (TCP) متاحًا للاستماع إليه، وإلا سيُطلب منك تحريره والمحاولة مرة أخرى.

 acme.sh --issue --alpn -d example.com -d www.example.com -d cp.example.com

المزيد من الأمثلة: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

6. استخدم وضع أباتشي

(يتطلب منك أن تكون root/sudoer، لأنه مطلوب للتفاعل مع خادم Apache)

إذا كنت تقوم بتشغيل خادم ويب، فمن المستحسن استخدام Webroot mode .

وعلى وجه الخصوص، إذا كنت تقوم بتشغيل خادم Apache، فيمكنك استخدام وضع Apache بدلاً من ذلك. لا يقوم هذا الوضع بكتابة أي ملفات إلى مجلد جذر الويب الخاص بك.

ما عليك سوى تعيين السلسلة "Apache" كوسيطة ثانية وستفرض استخدام مكون Apache الإضافي تلقائيًا.

 acme.sh --issue --Apache -d example.com -d www.example.com -d cp.example.com

وضع Apache هذا مخصص فقط لإصدار الشهادة، ولن يغير ملفات تكوين Apache الخاصة بك. ستحتاج إلى تكوين ملفات تكوين موقع الويب الخاص بك لاستخدام الشهادة بنفسك. لا نريد العبث بخادم Apache الخاص بك، فلا تقلق.

المزيد من الأمثلة: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

7. استخدم وضع Nginx

(يتطلب أن تكون root/sudoer، لأنه مطلوب للتفاعل مع خادم Nginx)

إذا كنت تقوم بتشغيل خادم ويب، فمن المستحسن استخدام Webroot mode .

على وجه الخصوص، إذا كنت تقوم بتشغيل خادم nginx، فيمكنك استخدام وضع nginx بدلاً من ذلك. لا يقوم هذا الوضع بكتابة أي ملفات إلى مجلد جذر الويب الخاص بك.

فقط قم بتعيين السلسلة "nginx" كوسيطة ثانية.

سيقوم بتكوين خادم nginx تلقائيًا للتحقق من المجال ثم استعادة تكوين nginx إلى الإصدار الأصلي.

لذلك، لم يتم تغيير التكوين.

 acme.sh --issue --nginx -d example.com -d www.example.com -d cp.example.com

وضع nginx هذا مخصص فقط لإصدار الشهادة، ولن يغير ملفات تكوين nginx الخاصة بك. ستحتاج إلى تكوين ملفات تكوين موقع الويب الخاص بك لاستخدام الشهادة بنفسك. لا نريد العبث بخادم nginx الخاص بك، فلا تقلق.

المزيد من الأمثلة: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

8. التكامل التلقائي لـ DNS API

إذا كان موفر DNS الخاص بك يدعم الوصول إلى واجهة برمجة التطبيقات (API)، فيمكننا استخدام واجهة برمجة التطبيقات (API) هذه لإصدار الشهادات تلقائيًا.

ليس عليك القيام بأي شيء يدويًا!

يدعم acme.sh حاليًا معظم موفري DNS:

https://github.com/acmesh-official/acme.sh/wiki/dnsapi

9. استخدم الوضع اليدوي لنظام DNS:

راجع: https://github.com/acmesh-official/acme.sh/wiki/dns-manual-mode أولاً.

إذا كان موفر نظام أسماء النطاقات الخاص بك لا يدعم أي وصول إلى واجهة برمجة التطبيقات، فيمكنك إضافة سجل txt يدويًا.

 acme.sh --issue --dns -d example.com -d www.example.com -d cp.example.com

يجب أن تحصل على إخراج مثل أدناه:

 أضف سجل النص التالي:
المجال:_acme-challenge.example.com
قيمة النص:9ihDbjYfTExAYeDs4DBUeuTo18KBzwvTEjUnSwd32-c

أضف سجل النص التالي:
المجال:_acme-challenge.www.example.com
قيمة النص:9ihDbjxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

الرجاء إضافة سجلات txt هذه إلى المجالات. في انتظار تفعيل نظام أسماء النطاقات.

ثم أعد التشغيل باستخدام وسيطة renew :

 acme.sh --renew -d example.com

حسنا، لقد تم ذلك.

انتبه، هذا هو الوضع اليدوي لنظام أسماء النطاقات، ولا يمكن تجديده تلقائيًا. سيتعين عليك إضافة سجل txt جديد إلى المجال الخاص بك بيدك عند تجديد شهادتك.

الرجاء استخدام وضع DNS API بدلاً من ذلك.

10. إصدار شهادات ECC

ما عليك سوى تعيين معلمة keylength باستخدام البادئة ec- .

على سبيل المثال:

شهادة ECC للمجال الواحد

 acme.sh --issue -w /home/wwwroot/example.com -d example.com --keylength ec-256

شهادة SAN متعددة المجالات ECC

 acme.sh --issue -w /home/wwwroot/example.com -d example.com -d www.example.com --keylength ec-256

يرجى إلقاء نظرة على معلمة keylength أعلاه.

القيم الصالحة هي:

  1. ec-256 (prime256v1، "ECDSA P-256"، وهو نوع المفتاح الافتراضي)

  2. EC-384 (secp384r1، "ECDSA P-384")

  3. ec-521 (secp521r1، "ECDSA P-521"، وهو غير مدعوم من Let's Encrypt حتى الآن.)

  4. 2048 (RSA2048)

  5. 3072 (RSA3072)

  6. 4096 (RSA4096)

11. إصدار شهادات Wildcard

الأمر بسيط، فقط قم بإعطاء مجال بدل كمعلمة -d .

 acme.sh --issue -d example.com -d '*.example.com' --dns dns_cf

12. كيفية تجديد الشهادات

لا، لا تحتاج إلى تجديد الشهادات يدويًا. سيتم تجديد جميع الشهادات تلقائيًا كل 60 يومًا.

ومع ذلك، يمكنك أيضًا فرض تجديد الشهادة:

 acme.sh --renew -d example.com --force

أو للحصول على شهادة ECC:

 acme.sh --renew -d example.com --force --ecc

13. كيفية إيقاف تجديد الشهادة

لإيقاف تجديد شهادة، يمكنك تنفيذ ما يلي لإزالة الشهادة من قائمة التجديد:

 acme.sh --remove -d example.com [--ecc]

لا تتم إزالة ملف الشهادة/المفتاح من القرص.

يمكنك إزالة الدليل المعني (على سبيل المثال ~/.acme.sh/example.com ) بنفسك.

14. كيفية ترقية acme.sh

يخضع acme.sh للتطوير المستمر، لذا يوصى بشدة باستخدام أحدث التعليمات البرمجية.

يمكنك تحديث acme.sh إلى أحدث كود:

 acme.sh --upgrade

يمكنك أيضًا تمكين الترقية التلقائية:

 acme.sh --upgrade --الترقية التلقائية

سيتم بعد ذلك تحديث acme.sh تلقائيًا.

تعطيل الترقية التلقائية:

 acme.sh - الترقية - الترقية التلقائية 0

15. إصدار شهادة من CSR القائمة

https://github.com/acmesh-official/acme.sh/wiki/Issue-a-cert-from-existing-CSR

16. إرسال الإخطارات في cronjob

https://github.com/acmesh-official/acme.sh/wiki/notify

17. تحت الغطاء

تحدث بلغة ACME باستخدام shell مباشرةً إلى "Let's Encrypt".

المهام:

18. شكر وتقدير

  1. قمة صغيرة: https://github.com/diafygi/acme-tiny

  2. بروتوكول ACME: https://github.com/ietf-wg-acme/acme

المساهمين

المساهمين في الكود

هذا المشروع موجود بفضل جميع الأشخاص الذين ساهموا فيه.

المساهمين الماليين

كن مساهمًا ماليًا وساعدنا في الحفاظ على مجتمعنا. [يساهم]

فرادى


المنظمات

ادعم هذا المشروع مع مؤسستك. سيظهر شعارك هنا مع رابط لموقعك على الويب. [يساهم]


19. الترخيص وغيرها

الترخيص هو GPLv3

من فضلك نجمة وشوكة لي.

القضايا وطلبات السحب هي موضع ترحيب.

20. تبرع

تبرعك يجعل acme.sh أفضل:

  1. باي بال/عليباي(支付宝)/Wechat(微信): https://donate.acme.sh/

قائمة التبرعات

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل