以下操作均为 Debian 7 x64 VPS,root 用户执行

1、安装 acme.sh

curl https://get.acme.sh | bash - && cp /root/.acme.sh/acme.sh /usr/bin/acme.sh && chmod u+x /usr/bin/acme.sh

2、签发 ECC CRT 证书

acme.sh  --issue  --dns --keylength ec-256 -d yourdomain.com -d otherdomain.com

然后按提示给出的字符更新 DNS TXT 记录

TXT: _acme-challenge.yourdomain.com --> 随机字符

托管于 dnspod 的域名可能无法认证

更新了 DNS 纪录后,运行

acme.sh --renew --ecc -d yourdomain.com -d otherdomain.com

然后 ECC 证书就已经签发好了

针对 Nginx 1.11.* 以上版本,可以同时配置 ECC、RSA 证书来支持旧版本浏览器。再申请 RSA 证书:

acme.sh --issue -d yourdomain.com -d otherdomain.com

因为已经验证的域名所有权,这里可以直接签发。

#ECC
ssl_certificate /root/.acme.sh/yourdomain.com_ecc/fullchain.cer;
ssl_certificate_key /root/.acme.sh/yourdomain.com_ecc/yourdomain.com.key;
#RSA
ssl_certificate /root/.acme.sh/yourdomain.com/fullchain.cer;
ssl_certificate_key /root/.acme.sh/yourdomain.com/yourdomain.com.key;

ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;

虽然 LE 证书有效期只有三个月,但是在证书过期前 acme.sh 会自动进行续期,所以不需担心。


  2016-09-23    返回顶部