acme.sh使用standalone模式流程记录及报错解决方法

0.前言

要求环境：

ubuntu 18.04
一个已注册域名且解析已指向服务器ip

acme.sh的github页面有中文说明

更多信息请参考官方wiki。本记录也大量引用官方中文指引

全程不需要sudo，使用sudo反而会引起预料之外的问题

1.安装 acme.sh

sudo apt install cron socat
curl  https://get.acme.sh | sh
echo 'alias acme.sh=~/.acme.sh/acme.sh' >> ~/.bashrc
source ~/.bashrc

2.生成证书

为了避免多次出错引起lets encrypt的限制服务，先使用测试模式，通过后再正式注册

下面的命令使用了 ec-256 密匙。比rsa-4096更好

测试模式

acme.sh --issue -d example.com --standalone --debug --server https://acme-s
taging-v02.api.letsencrypt.org/directory --keylength ec-256 --force

此处使用--server将认证指向测试环境

!如果报错

example.com:Verify error:Fetching http://example.com/.well-known/acme-challenge/QM5V1A3LcxZXr12_5gY3Uh1zh1p-7UARBMLhkK_OxKg: Connection refused
Debug: get token url.
则是外网无法正确访问到资源

检查顺序：

防火墙设置
解析记录是否生效
如果使用--webroot自定义路径，检查路径权限
80端口是否被占用

以上都排除，则基本可以断定是socat没有端口权限。参考issue #2622

使用下面语句将端口赋给socat

sudo setcap 'cap_net_bind_service=+ep' /usr/bin/socat

题外话，我在这个坑上花了近1个小时，真的很坑爹

正式注册

上面通过之后就可以安心正式注册了

其实只要把–server删掉即可

acme.sh --issue -d example.com --standalone --keylength ec-256 --force

3.copy/安装证书

这里直接抄官网了
前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方.

注意, 默认生成的证书都放在安装目录下: ~/.acme.sh/, 请不要直接使用此目录下的文件, 例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件. 这里面的文件都是内部使用, 而且目录结构可能会变化.

正确的使用方法是使用 --install-cert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:

Apache example:

acme.sh --install-cert -d example.com \
--cert-file      /path/to/certfile/in/apache/cert.pem  \
--key-file       /path/to/keyfile/in/apache/key.pem  \
--fullchain-file /path/to/fullchain/certfile/apache/fullchain.pem \
--reloadcmd     "service apache2 force-reload"

Nginx example:

acme.sh --install-cert -d example.com \
--key-file       /path/to/keyfile/in/nginx/key.pem  \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd     "service nginx force-reload"

(一个小提醒, 这里用的是 service nginx force-reload, 不是 service nginx reload, 据测试, reload 并不会重新加载证书, 所以用的 force-reload)

Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer ，而非 /etc/nginx/ssl/.cer ，否则 SSL Labs 的测试会报 Chain issues Incomplete 错误。

–install-cert命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效.

详细参数请参考: https://github.com/Neilpang/acme.sh#3-install-the-issued-cert-to-apachenginx-etc

值得注意的是, 这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用.

!如果出错

如果报错权限问题

则可以使用sudo + --force

sudo ~/.acme.sh/acme.sh --install-cert -d example.com --key-file [path] --fullchan-file [path] --force

当然官方并不推荐这种做法。还是建议将文件复制到当前用户环境，然后通过软连接的方式使用。

其余略