2022 年 7 月 22 日,国产数字证书品牌 HiCA 正式上线,提供免费的半年 IP 或者通配符域名 SSL 证书,非常实用。官网文档已上线,移步 https://www1.hi.cn/docs/intro 获得更多教程
安装
curl https://get.acme.sh -s | sh -s
鉴于国内的网络环境,如果上面官方下载地址失败 或者 太慢,可以选用国内的备用地址:
curl https://gitcode.net/cert/cn-acme.sh/-/raw/master/install.sh?inline=false -s | sh -s
使acme.sh命令生效:
. .bashrc
注册
您需要修改my@example.com为您的真实邮箱:
acme.sh --register-account --accountemail \ my@example.com \ --server http://acme.hi.cn/directory
签发:
具体请参阅此文章进行签发:
https://www1.hi.cn/docs/category/dns-%E9%AA%8C%E8%AF%81
我们以cloudflare举例进行签发:
执行以下变量,执行后会自动写入~/.acme.sh/account.conf
export CF_Email="Cloudflare_Account_Email" //此处填写你注册Cloudflare使用的邮箱账号 export CF_Key="Cloudflare_Global_API_Key" //此处替换成你自己的Key
然后执行签发:
acme.sh --issue \ --dns dns_cf \ -d <域名> \ -d <额外的域名> \ --days 150 \ --server https://acme.hi.cn/directory
为了让 acme.sh 在到期前30天尝试续期,建议您在申请证书时候,根据我们说明的实际期限,设置 --days 参数。例如 180 天到证书设置 --days 150,90 天到证书设置 --days 60。
注意:官网提供的脚本执行后会提示需要付费,这个特别需要注意,原因如下:
由于 ACME.sh 的更新,默认 ECC 密钥会触发收费流程。如需白嫖请自行指定 RSA 密钥。
解决办法:
手动指定证书模式为rsa模式:
acme.sh --issue \ --dns dns_cf \ -d <域名> \ -d <额外的域名> \ --days 150 \ -k 2048 \ --server https://acme.hi.cn/directory
这样就能完成签发。
快速安装证书到宝塔:
参考以下脚本运行,替换宝塔的证书:
acme.sh --install-cert cikeblog.com --key-file /www/server/panel/vhost/cert/cikeblog.com/privkey.pem --fullchain-file /www/server/panel/vhost/cert/cikeblog.com/fullchain.pem --reloadcmd "service nginx restart"