组件分享之后端组件——用于从 ACME 服务器(例如 Let's Encrypt)自动获取证书的工具acmetool

背景

近期正在探索前端、后端、系统端各类常用组件与工具,对其一些常见的组件进行再次整理一下,形成标准化组件专题,后续该专题将包含各类语言中的一些常用组件。欢迎大家进行持续关注。

组件基本信息

内容

本节我们分享一个用于从 ACME 服务器(例如 Let's Encrypt)自动获取证书的工具​​acmetool​​。它具有以下特性:

✅零停机时间自动更新

✅支持任何网络服务器

✅完全自动化

✅单文件无依赖二进制

✅幂等的

✅快速设置


您可以使用端口 80 或 443 执行验证(如果您还没有在其中一个上运行服务器);通过网络根;通过将您的网络服务器配置为代理对​​/.well-known/acme-challenge/​​acmetool 可以侦听的特殊端口 (402) 的请求;或者通过将您的网络服务器配置为不在端口 80 上侦听,而是在端口 80 上运行 acmetool 的内置 HTTPS 重定向器(和质询响应器)。如果您只想使用端口 80 将人们重定向到端口 443,这将非常有用。

您可以在 cron 作业上运行 acmetool 以自动更新证书 ( ​​acmetool --batch​​​)。给定主机名的首选证书始终位于 ​​/var/lib/acme/live/HOSTNAME/{cert,chain,fullchain,privkey}​​. 您可以将 acmetool 配置为在更新证书时自动重新加载您的网络服务器。

acmetool 旨在“无魔法”。acmetool 的所有状态都存储在一个简单、易于理解的平面文件目录中。​​此目录的架构已记录在案。​

acmetool 旨在像“make”一样工作。状态目录表示目标域名,并且每当调用 acmetool 时,它都会确保有效的证书可用于满足这些名称。即将到期的证书将被更新。因此,acmetool 是幂等的,并最大限度地减少了状态的使用。

可以选择使用 acmetool​​而不以 root 身份运行它。​​​如果您有使用官方客户端颁发的现有证书,acmetool 可以导入这些证书、密钥和帐户密钥 ( ​​acmetool import-le​​)。

acmetool 支持 RSA 和 ECDSA 密钥和证书。acmetool 的通知挂钩系统允许您编写任意 shell 脚本以在获得新证书时执行。默认情况下,这用于自动重新加载网络服务器,但它也可以用于将证书分发到其他服务器或用于其他目的。


Ubuntu下使用方式:

$ sudo add-apt-repository ppa:hlandau/rhea
$ sudo apt-get 更新
$ sudo apt-get install acmetool

Debian下使用方式:

# echo 'deb http://ppa.launchpad.net/hlandau/rhea/ubuntu xenial main' > /etc/apt/sources.list.d/rhea.list
# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 9862409EF124EC763B84972FF5AC9651EDB58DFA
# apt-get update
# apt-get install acmetool

具体使用方式:

#运行快速启动向导。设置帐户、cronjob 等。
#(如果要使用 ECDSA 密钥或设置 RSA 密钥大小,请传递“--expert”。)
$ sudo acmetool quickstart

#如有必要,配置您的网络服务器以应对挑战。
#见 https://hlandau.github.io/acmetool/userguide#web-server-configuration
$...

#请求你想要的主机名:
$ sudo acmetool want example.com www.example.com

#现在你有了证书:
$ ls -l /var/lib/acme/live/example.com/

更多使用方式,可参见官方提供的​​README​

本文声明:

组件分享之后端组件——用于从 ACME 服务器(例如 Let

88x31.png


​知识共享许可协议​

本作品由 ​​cn華少​​ 采用 ​​知识共享署名-非商业性使用 4.0 国际许可协议​​ 进行许可。