免费申请和自动续签https证书(acme.sh)

# 步骤一：安装acme.sh到 ~/.acme.sh/ 目录下
curl https://get.acme.sh | sh -s email=my@example.com  # wget -O -  https://get.acme.sh | sh -s email=my@example.com
    # 安装中自动添加alias acme.sh=~/.acme.sh/acme.sh到bashrc
    # 安装中自动添加了自动续签的命令到cron中：5 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
source ~/.bashrc


# 步骤二的前置动作：签发证书
    # 在网站配置/etc/nginx/sites-enabled/mydomain.com.conf中加入如下配置
    location /.well-known/acme-challenge {
        add_header 'Access-Control-Allow-Origin' '*';
        root /var/www/html;
    }
# 步骤二：签发证书
acme.sh --set-default-ca --server letsencrypt  # [非必需] 更换CA提供商，默认有点慢
acme.sh --debug --issue -d mydomain.com -d www.mydomain.com --webroot /var/www/html


# 步骤三：安装证书
mkdir /etc/nginx/tls
acme.sh --install-cert -d mydomain.com --key-file /etc/nginx/tls/key.pem --fullchain-file  /etc/nginx/tls/cert.pem --reloadcmd "service nginx force-reload"

# 步骤四：修改/etc/nginx/sites-enabled/mydomain.com.conf开启https
server {  # 监听浏览器发起的 https 请求 (默认443端口)
    listen 443 ssl;
    server_name mydomain.com www.mydomain.com 121.196.221.185;
    ssl_certificate /etc/nginx/tls/cert.pem;      # 关键
    ssl_certificate_key /etc/nginx/tls/key.pem;   # 关键

    access_log /tmp/nginx443_access.log;
    error_log /tmp/nginx443_error.log;
    location / {
        include uwsgi_params;
        uwsgi_pass uwsgiservers;
    }
    location /file/ {
        add_header 'Access-Control-Allow-Origin' '*';
        alias /tmp/crontab_data/;
    }
    location /.well-known/acme-challenge {
        add_header 'Access-Control-Allow-Origin' '*';
        root /var/www/html;
    }
}

service nginx force-reload  # 修改完后，重启nginx生效即可

参考资料

• 三行命令，免费申请https加密证书，一次配置，永久生效
• acme.sh官方说明github
• acme.sh在国内环境安装
• [使用 acme.sh 申请免费自动续期的 SSL 证书][https://huangxulin.cn/archives/27.html]