https://www.jkg.tw/tags/%E6%86%91%E8%AD%89/ Recent content in 憑證 on jkgtw's blog  https://www.jkg.tw/apple-touch-icon.png https://www.jkg.tw/apple-touch-icon.png Hugo en Mon, 25 May 2020 19:44:03 +0800 https://www.jkg.tw/p3355/ Mon, 25 May 2020 19:44:03 +0800 https://www.jkg.tw/p3355/ <p>​</p> <p><a href="https://letsencrypt.org/zh-tw/">Let&rsquo;s Encrypt</a> 真是一家佛心公司，從 2015 年 12 月開始就對外提供免費的 SSL 憑證服務</p> <p>至今已經是網路上最常見的憑證機構之一了！</p> <p>​</p> <p>剛開始使用 LE 服務時候，一直是使用 LE 官方推薦的 <a href="https://certbot.eff.org">Certbot</a> 來獲取簽名</p> <p>去年的時候意外在某個項目看到推薦使用 <a href="https://github.com/acmesh-official/acme.sh">acme.sh</a> 來簽憑證，於是我當時也跟著換</p> <p>一用也超過半年以上了，異常穩定 100% 無人值守，至今也沒出問任何問題，非常推薦～</p> <p>​</p> <p>有時候臨時跑個 docker 之類小服務跟反代，會直接用 <a href="https://caddyserver.com">CaddyServer</a> 或者 <a href="https://containo.us/traefik/">Traefik</a> 起一個自動服務出來用</p> <p>但是用 nginx 或者打算把憑證用在其他用途上，就還是推薦用 acme.sh 來自動續期比較好</p> <p>​</p> <p>acme.sh 強大的優勢如下：</p> <ul> <li>100% 使用 Shell 語言撰寫，完整支援 ACME Protocol</li> <li>本體無任何依賴，無需 Python 環境或者安裝 LE 客戶端</li> <li>支援上百家 DNS API 驗證方式</li> <li>全自動完成簽憑證、續期跟安裝憑證，以及可以自訂簽憑證後的指定工作</li> <li>無需 roots 或 sudo 權限</li> </ul> <p>​</p> <p>下面快速記錄一下安裝與設定過程，我環境是使用 debian + CloudFlare DNS</p> <p>​</p> <h3 id="安裝-acmesh">安裝 acme.sh</h3> <p>ssh 進目標主機，一行指令快速安裝</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">curl https://get.acme.sh <span class="p">|</span> sh </span></span></code></pre></div><p>​</p> <p>他會把本體以及相關設定都安裝在 ~/.acme.sh/ 之下，所以無需 root 相關權限</p>