หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด
acme.sh

สคริปต์ ACME Shell: acme.sh

ฟรีBSDOpenBSDเน็ตบีเอสดีแมคโอเอสอูบุนตูหน้าต่างโซลาริสดราก้อนฟลายBSDออมนิออส

เชลล์เช็คPebbleStrictนักเทียบท่าฮับ


  • ไคลเอ็นต์โปรโตคอล ACME เขียนด้วยภาษาเชลล์ (Unix เชลล์) เท่านั้น

  • การใช้โปรโตคอล ACME เต็มรูปแบบ

  • รองรับใบรับรอง ECDSA

  • รองรับใบรับรอง SAN และไวด์การ์ด

  • เรียบง่าย ทรงพลัง และใช้งานง่ายมาก คุณต้องใช้เวลาเพียง 3 นาทีในการเรียนรู้

  • รองรับ Bash, dash และ sh

  • เขียนด้วยเชลล์ล้วนๆ โดยไม่มีการพึ่งพา python

  • มีเพียงสคริปต์เดียวที่จะออก ต่ออายุ และติดตั้งใบรับรองของคุณโดยอัตโนมัติ

  • ไม่ต้องการการเข้าถึง root/sudoer

  • นักเทียบท่าพร้อมแล้ว

  • IPv6 พร้อมแล้ว

  • การแจ้งเตือนงาน Cron สำหรับการต่ออายุหรือข้อผิดพลาด ฯลฯ

อาจเป็นเชลล์สคริปต์ easiest & smartest ในการออกและต่ออายุใบรับรองฟรีโดยอัตโนมัติ

วิกิ: https://github.com/acmesh-official/acme.sh/wiki

สำหรับแฟนนักเทียบท่า: acme.sh ? นักเทียบท่า

ทวิตเตอร์: @neilpangxa

中文说明

WHO:

  • FreeBSD.org

  • ruby-china.org

  • พร็อกม็อกซ์

  • pfsense

  • Loadbalancer.org

  • discourse.org

  • Centminmod

  • สลินซ์

  • opnsense.org

  • แผงเว็บ CentOS

  • lnmp.org

  • มากกว่า...

ระบบปฏิบัติการที่ทดสอบแล้ว

เลขที่ สถานะ แพลตฟอร์ม
1 แมคโอเอส แมค โอเอสเอ็กซ์
2 หน้าต่าง Windows (รวม cygwin พร้อม curl, openssl และ crontab)
3 ฟรีBSD ฟรีBSD
4 โซลาริส โซลาริส
5 อูบุนตู อูบุนตู
6 นา pfsense
7 OpenBSD OpenBSD
8 เน็ตบีเอสดี เน็ตบีเอสดี
9 ดราก้อนฟลายBSD ดราก้อนฟลายBSD
10 ออมนิออส ออมนิออส
11 ลินุกซ์ เดเบียน
12 ลินุกซ์ CentOS
13 ลินุกซ์ openSUSE
14 ลินุกซ์ อัลไพน์ Linux (พร้อมขด)
15 ลินุกซ์ อาร์คลินุกซ์
16 ลินุกซ์ หมวกฟาง
17 ลินุกซ์ กาลี ลินุกซ์
18 ลินุกซ์ ออราเคิล ลินุกซ์
19 ลินุกซ์ มาเกอา
10 ลินุกซ์ เจนทู ลินุกซ์
11 ลินุกซ์ เคลียร์ลินุกซ์
22 - คลาวด์ลินุกซ์ #111
23 - OpenWRT: ทดสอบและใช้งานได้แล้ว ดูหน้าวิกิ
24
 Proxmox: ดู Proxmox VE วิกิ เวอร์ชัน 4.x, 5.0, 5.1, เวอร์ชัน 5.2 ขึ้นไป

ตรวจสอบโครงการทดสอบของเรา:

https://github.com/acmesh-official/acmetest

แคลิฟอร์เนียที่รองรับ

  • ZeroSSL.com CA (ค่าเริ่มต้น)

  • Letsencrypt.org แคลิฟอร์เนีย

  • BuyPass.com แคลิฟอร์เนีย

  • SSL.com แคลิฟอร์เนีย

  • Google.com แคลิฟอร์เนียสาธารณะ

  • โหมดเข้มงวด Pebble

  • CA อื่นๆ ที่สอดคล้องกับ RFC8555

โหมดที่รองรับ

  • โหมดเว็บรูท

  • โหมดสแตนด์อโลน

  • โหมด tls-alpn แบบสแตนด์อโลน

  • โหมดอาปาเช่

  • โหมด Nginx

  • โหมด DNS

  • โหมดนามแฝง DNS

  • โหมดไร้สัญชาติ

1. วิธีการติดตั้ง

1. ติดตั้งออนไลน์

ตรวจสอบโครงการนี้: https://github.com/acmesh-official/get.acme.sh

 ขด https://get.acme.sh | sh -s อีเมล[email protected]

หรือ:

 wget -O - https://get.acme.sh | sh -s อีเมล[email protected]

2. หรือติดตั้งจาก git

โคลนโปรเจ็กต์นี้และเปิดการติดตั้ง:

 โคลนคอมไพล์ https://github.com/acmesh-official/acme.sh.gitcd ./acme.sh
./acme.sh --ติดตั้ง -m [email protected]

คุณ don't have to be root แม้ว่า it is recommended

การติดตั้งขั้นสูง: https://github.com/acmesh-official/acme.sh/wiki/How-to-install

โปรแกรมติดตั้งจะดำเนินการ 3 อย่าง:

  1. สร้างและคัดลอก acme.sh ไปยังโฮมไดร์ของคุณ ( $HOME ): ~/.acme.sh/ ใบรับรองทั้งหมดจะถูกวางไว้ในโฟลเดอร์นี้ด้วย

  2. สร้างนามแฝงสำหรับ: acme.sh=~/.acme.sh/acme.sh

  3. สร้างงาน cron รายวันเพื่อตรวจสอบและต่ออายุใบรับรองหากจำเป็น

ตัวอย่างรายการ Cron:

 0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null

หลังจากการติดตั้ง คุณต้องปิดเทอร์มินัลปัจจุบันและเปิดใหม่อีกครั้งเพื่อให้นามแฝงมีผล

ตกลง คุณพร้อมที่จะออกใบรับรองแล้ว

แสดงข้อความช่วยเหลือ:

 root@v1:~# acme.sh -h

2. เพียงออกใบรับรอง

ตัวอย่างที่ 1: โดเมนเดียว

 acme.sh --issue -d example.com -w /home/wwwroot/example.com

หรือ:

 acme.sh --issue -d example.com -w /home/username/public_html

หรือ:

 acme.sh --issue -d example.com -w /var/www/html

ตัวอย่างที่ 2: หลายโดเมนในใบรับรองเดียวกัน

 acme.sh --issue -d example.com -d www.example.com -d cp.example.com -w /home/wwwroot/example.com

พารามิเตอร์ /home/wwwroot/example.com หรือ /home/username/public_html หรือ /var/www/html คือโฟลเดอร์รูทเว็บที่คุณโฮสต์ไฟล์เว็บไซต์ของคุณ คุณ ต้อง มี write access โฟลเดอร์นี้

อาร์กิวเมนต์ที่สอง "example.com" คือโดเมนหลักที่คุณต้องการออกใบรับรอง คุณต้องมีโดเมนอย่างน้อยหนึ่งโดเมน

คุณต้องชี้และผูกโดเมนทั้งหมดเข้ากับ webroot dir เดียวกัน: /home/wwwroot/example.com

ใบรับรองจะถูกวางไว้ใน ~/.acme.sh/example.com/

ใบรับรองจะต่ออายุโดยอัตโนมัติทุกๆ 60 วัน

ตัวอย่างเพิ่มเติม: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

3. ติดตั้งใบรับรองไปที่ Apache/Nginx ฯลฯ

หลังจากสร้างใบรับรองแล้ว คุณอาจต้องการติดตั้ง/คัดลอกใบรับรองไปยัง Apache/Nginx หรือเซิร์ฟเวอร์อื่นๆ คุณ ต้อง ใช้คำสั่งนี้เพื่อคัดลอกใบรับรองไปยังไฟล์เป้าหมาย ห้าม ใช้ไฟล์ใบรับรองในโฟลเดอร์ ~/.acme.sh/ เนื่องจากมีไว้สำหรับใช้ภายในเท่านั้น โครงสร้างโฟลเดอร์อาจมีการเปลี่ยนแปลงในอนาคต

ตัวอย่าง อาปาเช่ :

 acme.sh --install-cert -d example.com
 --cert-file /path/to/certfile/in/apache/cert.pem
  --key-file /path/to/keyfile/in/apache/key.pem
  --fullchain-ไฟล์ /path/to/fullchain/certfile/apache/fullchain.pem
 --reloadcmd "บริการ apache2 บังคับให้โหลดซ้ำ"

ตัวอย่าง Nginx :

 acme.sh --install-cert -d example.com
 --key-ไฟล์ /path/to/keyfile/in/nginx/key.pem
  --fullchain-ไฟล์ /path/to/fullchain/nginx/cert.pem
 --reloadcmd "บริการ nginx บังคับให้โหลดซ้ำ"

ต้องใช้โดเมนเท่านั้น ส่วนพารามิเตอร์อื่นๆ ทั้งหมดจะเป็นทางเลือก

ข้อมูลความเป็นเจ้าของและการอนุญาตของไฟล์ที่มีอยู่จะถูกเก็บรักษาไว้ คุณสามารถสร้างไฟล์ล่วงหน้าเพื่อกำหนดความเป็นเจ้าของและการอนุญาตได้

ติดตั้ง/คัดลอกใบรับรอง/คีย์ไปยังเส้นทาง Apache หรือ Nginx ที่ใช้งานจริง

ใบรับรองจะต่ออายุทุกๆ 60 วันตามค่าเริ่มต้น (ซึ่งสามารถกำหนดค่าได้) เมื่อต่ออายุใบรับรองแล้ว บริการ Apache/Nginx จะถูกโหลดซ้ำโดยอัตโนมัติด้วยคำสั่ง: service apache2 force-reload หรือ service nginx force-reload

โปรดดูแล: reloadcmd มีความสำคัญมาก สามารถต่ออายุใบรับรองได้โดยอัตโนมัติ แต่หากไม่มี 'reloadcmd' ที่ถูกต้อง ใบรับรองอาจไม่ถูกล้างไปยังเซิร์ฟเวอร์ของคุณ (เช่น nginx หรือ apache) จากนั้นเว็บไซต์ของคุณจะไม่สามารถแสดงใบรับรองที่ต่ออายุได้ภายใน 60 วัน

4. ใช้เซิร์ฟเวอร์แบบสแตนด์อโลนเพื่อออกใบรับรอง

(คุณต้องเป็น root/sudoer หรือได้รับอนุญาตให้ฟังบนพอร์ต 80 (TCP))

พอร์ต 80 (TCP) จะต้อง ว่างในการฟัง มิฉะนั้นคุณจะได้รับแจ้งให้ปล่อยและลองอีกครั้ง

 acme.sh --issue --standalone -d example.com -d www.example.com -d cp.example.com

ตัวอย่างเพิ่มเติม: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

5. ใช้เซิร์ฟเวอร์ SSL แบบสแตนด์อโลนเพื่อออกใบรับรอง

(คุณต้องเป็น root/sudoer หรือได้รับอนุญาตให้ฟังบนพอร์ต 443 (TCP))

พอร์ต 443 (TCP) จะต้อง ว่างในการฟัง มิฉะนั้นคุณจะได้รับแจ้งให้ปล่อยและลองอีกครั้ง

 acme.sh --issue --alpn -d example.com -d www.example.com -d cp.example.com

ตัวอย่างเพิ่มเติม: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

6. ใช้โหมด Apache

(คุณต้องเป็น root/sudoer เนื่องจากจำเป็นต้องโต้ตอบกับเซิร์ฟเวอร์ Apache)

หากคุณใช้งานเว็บเซิร์ฟเวอร์ ขอแนะนำให้ใช้ Webroot mode

โดยเฉพาะอย่างยิ่งหากคุณใช้งานเซิร์ฟเวอร์ Apache คุณสามารถใช้โหมด Apache แทนได้ โหมดนี้จะไม่เขียนไฟล์ใดๆ ลงในโฟลเดอร์รูทเว็บของคุณ

เพียงตั้งค่าสตริง "apache" เป็นอาร์กิวเมนต์ที่สองและมันจะบังคับให้ใช้ปลั๊กอิน apache โดยอัตโนมัติ

 acme.sh --issue --apache -d example.com -d www.example.com -d cp.example.com

โหมด apache นี้ใช้เพื่อออกใบรับรองเท่านั้น แต่จะไม่เปลี่ยนไฟล์กำหนดค่า apache ของคุณ คุณจะต้องกำหนดค่าไฟล์กำหนดค่าเว็บไซต์ของคุณเพื่อใช้ใบรับรองด้วยตัวเอง เราไม่ต้องการยุ่งกับเซิร์ฟเวอร์ apache ของคุณ ไม่ต้องกังวล

ตัวอย่างเพิ่มเติม: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

7. ใช้โหมด Nginx

(คุณต้องเป็น root/sudoer เนื่องจากจำเป็นต้องโต้ตอบกับเซิร์ฟเวอร์ Nginx)

หากคุณใช้งานเว็บเซิร์ฟเวอร์ ขอแนะนำให้ใช้ Webroot mode

โดยเฉพาะอย่างยิ่ง หากคุณใช้งานเซิร์ฟเวอร์ nginx คุณสามารถใช้โหมด nginx แทนได้ โหมดนี้จะไม่เขียนไฟล์ใดๆ ลงในโฟลเดอร์รูทเว็บของคุณ

เพียงตั้งค่าสตริง "nginx" เป็นอาร์กิวเมนต์ที่สอง

มันจะกำหนดค่าเซิร์ฟเวอร์ nginx โดยอัตโนมัติเพื่อตรวจสอบโดเมน จากนั้นคืนค่าการกำหนดค่า nginx เป็นเวอร์ชันดั้งเดิม

ดังนั้นการกำหนดค่าจึงไม่เปลี่ยนแปลง

 acme.sh --issue --nginx -d example.com -d www.example.com -d cp.example.com

โหมด nginx นี้ใช้เพื่อออกใบรับรองเท่านั้น แต่จะไม่เปลี่ยนไฟล์กำหนดค่า nginx ของคุณ คุณจะต้องกำหนดค่าไฟล์กำหนดค่าเว็บไซต์ของคุณเพื่อใช้ใบรับรองด้วยตัวเอง เราไม่ต้องการยุ่งกับเซิร์ฟเวอร์ nginx ของคุณ ไม่ต้องกังวล

ตัวอย่างเพิ่มเติม: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

8. การรวม DNS API อัตโนมัติ

หากผู้ให้บริการ DNS ของคุณรองรับการเข้าถึง API เราสามารถใช้ API นั้นเพื่อออกใบรับรองโดยอัตโนมัติ

คุณไม่จำเป็นต้องทำอะไรด้วยตนเอง!

ปัจจุบัน acme.sh รองรับผู้ให้บริการ DNS ส่วนใหญ่:

https://github.com/acmesh-official/acme.sh/wiki/dnsapi

9. ใช้โหมดแมนนวล DNS:

ดู: https://github.com/acmesh-official/acme.sh/wiki/dns-manual-mode ก่อน

หากผู้ให้บริการ DNS ของคุณไม่รองรับการเข้าถึง API คุณสามารถเพิ่มระเบียน txt ด้วยตนเองได้

 acme.sh --issue --dns -d example.com -d www.example.com -d cp.example.com

คุณควรได้รับผลลัพธ์ดังนี้:

 เพิ่มระเบียน txt ต่อไปนี้:
โดเมน:_acme-challenge.example.com
ค่า Txt:9ihDbjYfTExAYeDs4DBUeuTo18KBzwvTEjUnSwd32-c

เพิ่มระเบียน txt ต่อไปนี้:
โดเมน:_acme-challenge.www.example.com
ค่า Txt:9ihDbjxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

โปรดเพิ่มระเบียน txt เหล่านั้นลงในโดเมน กำลังรอให้ DNS มีผล

จากนั้นให้รันใหม่ด้วยอาร์กิวเมนต์ renew :

 acme.sh --ต่ออายุ -d example.com

โอเค เสร็จแล้ว

ระวัง นี่คือโหมด DNS ด้วยตนเอง ไม่สามารถต่ออายุได้โดยอัตโนมัติ คุณจะต้องเพิ่มระเบียน txt ใหม่ให้กับโดเมนของคุณด้วยมือของคุณเมื่อคุณต่ออายุใบรับรอง

โปรดใช้โหมด DNS API แทน

10. ออกใบรับรอง ECC

เพียงตั้งค่าพารามิเตอร์ keylength ด้วยคำนำหน้า ec-

ตัวอย่างเช่น:

ใบรับรอง ECC โดเมนเดียว

 acme.sh --issue -w /home/wwwroot/example.com -d example.com --keylength ec-256

ใบรับรอง ECC หลายโดเมน SAN

 acme.sh --issue -w /home/wwwroot/example.com -d example.com -d www.example.com --keylength ec-256

โปรดดูพารามิเตอร์ keylength ด้านบน

ค่าที่ถูกต้องคือ:

  1. ec-256 (prime256v1, "ECDSA P-256" ซึ่งเป็นประเภทคีย์เริ่มต้น)

  2. ec-384 (secp384r1, "ECDSA P-384")

  3. ec-521 (secp521r1, "ECDSA P-521" ซึ่ง Let's Encrypt ยังไม่รองรับ)

  4. 2048 (RSA2048)

  5. 3072 (RSA3072)

  6. 4096 (RSA4096)

11. ออกใบรับรอง Wildcard

ง่ายมาก เพียงกำหนดโดเมนตัวแทนเป็นพารามิเตอร์ -d

 acme.sh --issue -d example.com -d '*.example.com' --dns dns_cf

12. วิธีการต่ออายุใบรับรอง

ไม่ คุณไม่จำเป็นต้องต่ออายุใบรับรองด้วยตนเอง ใบรับรองทั้งหมดจะได้รับการต่ออายุโดยอัตโนมัติทุกๆ 60 วัน

อย่างไรก็ตาม คุณสามารถบังคับให้ต่ออายุใบรับรองได้:

 acme.sh --ต่ออายุ -d example.com --force

หรือสำหรับใบรับรอง ECC:

 acme.sh --ต่ออายุ -d example.com --force --ecc

13. วิธีหยุดการต่ออายุใบรับรอง

หากต้องการหยุดการต่ออายุใบรับรอง คุณสามารถดำเนินการต่อไปนี้เพื่อลบใบรับรองออกจากรายการต่ออายุ:

 acme.sh --ลบ -d example.com [--ecc]

ไฟล์ใบรับรอง/คีย์จะไม่ถูกลบออกจากดิสก์

คุณสามารถลบไดเร็กทอรีที่เกี่ยวข้อง (เช่น ~/.acme.sh/example.com ) ได้ด้วยตัวเอง

14. วิธีอัปเกรด acme.sh

acme.sh มีการพัฒนาอย่างต่อเนื่อง ดังนั้นจึงขอแนะนำอย่างยิ่งให้ใช้โค้ดล่าสุด

คุณสามารถอัปเดต acme.sh เป็นโค้ดล่าสุดได้:

 acme.sh --อัพเกรด

คุณยังสามารถเปิดใช้งานการอัปเกรดอัตโนมัติได้:

 acme.sh --อัปเกรด --อัปเกรดอัตโนมัติ

จากนั้น acme.sh จะถูกอัปเดตโดยอัตโนมัติ

ปิดการใช้งานการอัพเกรดอัตโนมัติ:

 acme.sh --อัปเกรด --อัปเกรดอัตโนมัติ 0

15. ออกใบรับรองจาก CSR ที่มีอยู่

https://github.com/acmesh-official/acme.sh/wiki/Issue-a-cert-from-existing-CSR

16. ส่งการแจ้งเตือนใน cronjob

https://github.com/acmesh-official/acme.sh/wiki/notify

17. ใต้ฝากระโปรง

พูดภาษา ACME โดยใช้เชลล์ โดยตรงกับ "มาเข้ารหัสกันเถอะ"

สิ่งที่ต้องทำ:

18. การรับทราบ

  1. Acme-tiny: https://github.com/diafygi/acme-tiny

  2. โปรโตคอล ACME: https://github.com/ietf-wg-acme/acme

ผู้ร่วมให้ข้อมูล

ผู้ร่วมเขียนโค้ด

โครงการนี้เกิดขึ้นได้ต้องขอบคุณทุกคนที่มีส่วนร่วม

ผู้มีส่วนร่วมทางการเงิน

ร่วมเป็นผู้บริจาคทางการเงินและช่วยเรารักษาชุมชนของเรา [มีส่วนช่วย]

บุคคล


องค์กร

สนับสนุนโครงการนี้กับองค์กรของคุณ โลโก้ของคุณจะแสดงที่นี่พร้อมลิงก์ไปยังเว็บไซต์ของคุณ [มีส่วนช่วย]


19. ใบอนุญาตและอื่นๆ

ใบอนุญาตคือ GPLv3

ได้โปรดติดดาวและแยกฉันด้วย

ยินดีรับประเด็นและคำขอดึง

20. บริจาค

การบริจาคของคุณทำให้ acme.sh ดีขึ้น:

  1. PayPal/Alipay(支付宝)/Wechat(微信): https://donate.acme.sh/

รายการบริจาค

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด