ACME配置#
Angie中的 ACME 模块能够通过 ACME协议 自动获取证书。ACME协议支持各种域验证方法(也称为“验证”);此模块实现了 HTTP验证、DNS验证 和 基于钩子的验证,通过自定义外部服务。 启用证书请求的常规步骤: 在 :samp:`http` 块中配置ACME客户端,使用 acme_client 指令,指定唯一的客户端名称和其他参数。可以配置多个ACME客户端。 指定请求证书的域:对于在所有使用 acme 的 设置请求处理和ACME回调:这对于验证域所有权是必需的。设置取决于选择的域验证方法: 方法 要求 证书 需要对ACME服务器的特定请求(回调)作出响应。 Angie服务器的80端口必须开放。 不支持通配符证书。 允许颁发多域证书。 需要处理来自ACME服务器的特定DNS查询(回调)。 需要能够修改DNS记录。 Angie服务器必须开放 acme_dns_port 指令指定的端口(默认是53)。 支持颁发多域和通配符证书。 需要实现一个外部服务,Angie与之通信。 需要由外部服务配置的外部DNS或HTTP服务器。 外部DNS或HTTP服务器的要求与上述相应点匹配。 支持颁发多域和通配符证书。 使用获得的证书和密钥配置SSL:证书和密钥作为 嵌入变量 可用,可以用于 配置 填充 ssl_certificate 和 ssl_certificate_key。 有关SSL设置说明,请参见:ref:ssl_config。 客户端密钥和证书以 PEM编码 存储在由 ACME客户端需要在CA服务器上有一个账号,使用私钥( 备注 如果您已经有一个账号密钥,请在客户端的子目录中放置它,以便在启动时重用该账号。或者,可以使用 acme_client 中的 客户端还使用一个单独的密钥( CA服务器使用 HTTP 或 DNS验证 来验证域所有权,并颁发证书,该证书保存在本地( 如前所述,一个证书涵盖同一个ACME客户端管理的所有域。所有覆盖名称的列表可以在证书的 主题备用名称 (SAN)字段中找到。要在终端中检查此信息: 当证书即将到期或域发生变化时,客户端提交新的CSR,CA服务器在颁发新证书之前会重新验证所有权。 在 配置 中,获取的证书及其对应的密钥可通过前缀变量
$acme_cert_<name> 和 $acme_cert_key_<name> 访问。它们的值是相应文件
的内容,应与 ssl_certificate 和 ssl_certificate_key 指令一起使用,
例如: 验证是自动处理的。此过程涉及ACME服务器,在收到请求后,从地址 在此示例中,名为 如前所述,80端口必须开放以处理来自ACME的HTTP回调。然而,如本示例所示,针对此端口的 listen 指令可以放置在一个单独的 server 块中。如果没有存在的包含此指令的块,可以创建一个仅限于ACME回调的新块: 为什么这样做有效?该模块在读取头信息后但在选择虚拟服务器或处理 rewrite 和 location 指令之前拦截对 验证是自动处理的。在处理证书请求时,ACME服务器对正在验证的域的 ACME模块自动跟踪和处理此类请求,前提是您的DNS记录已正确配置,将Angie服务器指定为 例如,要使用IP地址 此配置将DNS解析委托给 此方法允许请求通配符证书,例如将条目 注意 此场景的适用性在很大程度上取决于您的DNS提供商的能力;某些提供商不允许此类配置。 该配置通常与前一节中的示例相似。无需HTTP特定设置;相反,在 acme_client 指令中设置 在此示例中,名为 与前面的方法不同,此验证需要额外的努力。ACME服务器执行标准 HTTP验证 或 DNS验证,但不是直接与Angie服务器交互,而是与由Angie服务器使用钩子(acme_hook)管理的外部服务进行通信。该服务配置了一个单独的DNS或HTTP服务器,ACME服务器在其中发送请求。 一旦ACME服务器从配置的DNS或HTTP服务器收到预期响应,它将确认域所有权。 当需要在ACME协议下执行证书续订时,Angie会调用外部服务。请求和数据通过如 fastcgi_pass、scgi_pass 等指令代理到FastCGI、SCGI或类似服务器。 该服务必须返回 在此示例中,ACME客户端 一个 一个命名的 以下的 Perl 脚本演示了一个简单的外部 FastCGI 服务: 这里的 如果您之前使用 certbot 从 Let's Encrypt 获取和续订 SSL 证书并使用 nginx,请按照以下步骤迁移到使用 ACME 模块。 假设您最初使用以下命令配置证书: certbot 自动创建的配置通常位于 在上面的示例中,突出显示的行必须进行修改。根据您的情况和偏好,使用 ACME 模块配置 HTTP 验证 或 DNS 验证。 生成的 Angie 配置 可能如下所示: 记得在 更改后重新加载配置: 一旦新配置得到验证,您可以删除 certbot 证书,且如果不再在其他地方使用,可以选择禁用或完全删除 certbot:配置步骤#
server
块中的 server_name 指令列出的所有域名,将颁发一个单一的证书,指向同一个ACME客户端。实现细节#
--http-acme-client-path
构建选项 指定的目录的子目录中:$ ls /var/lib/angie/acme/example/
account.key certificate.pem private.key
account.key
)进行管理。如果没有密钥,则在启动时生成。客户端使用此密钥在CA服务器上注册该账号。account_key
参数指定该密钥。private.key
)用于证书签名请求(CSR)。如果需要,则自动创建此密钥。在启动时,客户端通过签名并发送其管理下所有域的CSR请求证书到CA服务器。certificate.pem
)。$ openssl x509 -in certificate.pem -noout -text | grep -A5 "Subject Alternative Name"
server {
listen 443 ssl;
server_name example.com www.example.com;
acme example;
ssl_certificate $acme_cert_example;
ssl_certificate_key $acme_cert_key_example;
}
HTTP验证#
/.well-known/acme-challenge/<TOKEN>
通过HTTP 检索特殊文件令牌 。ACME模块自动拦截和处理此类请求。当收到带有正确内容的预期响应时,ACME服务器确认域所有权。配置示例#
example
的ACME客户端管理 example.com
和 www.example.com
的证书(请注意,HTTP验证不支持通配符):http {
resolver 127.0.0.53; # acme_client指令所需
acme_client example https://acme-v02.api.letsencrypt.org/directory;
server {
listen 80; # 可能位于不同的'server'块中
# 具有不同的域列表
# 或甚至没有
listen 443 ssl;
server_name example.com www.example.com;
acme example;
ssl_certificate $acme_cert_example;
ssl_certificate_key $acme_cert_key_example;
}
}
server {
listen 80;
return 444; # 无响应,连接关闭
}
/.well-known/acme-challenge/<TOKEN>
的请求。如果 <TOKEN>
的值与特定回调的预期值匹配,则处理此类拦截请求。不会执行目录访问;模块完全处理请求。DNS验证#
_acme-challenge.
子域执行 特殊DNS查询 。一旦收到预期响应,ACME服务器确认域所有权。_acme-challenge.
子域的权威名称服务器。93.184.215.14
的Angie服务器验证域 example.com
,您的域的DNS配置应包含以下记录:_acme-challenge.example.com. 60 IN NS ns.example.com.
ns.example.com. 60 IN A 93.184.215.14
_acme-challenge.example.com
到 ns.example.com
,确保可以通过其IP地址(93.184.215.14
)访问 ns.example.com
。*.example.com
包括在 主题备用名称 (SAN)部分中。要明确请求某个子域的证书,例如:samp:www.example.com,您必须使用上述方法单独验证该子域。配置示例#
challenge=dns
。example
的ACME客户端管理 example.com
和 *.example.com
的证书:http {
resolver 127.0.0.53;
acme_client example https://acme-v02.api.letsencrypt.org/directory
challenge=dns;
server {
server_name example.com *.example.com;
acme example;
ssl_certificate $acme_cert_example;
ssl_certificate_key $acme_cert_key_example;
}
}
基于钩子的验证#
2xx
状态码,可以通过 Status
头发送。任何其他代码都将被视为错误,证书续订将被停止。服务的输出将被忽略。配置示例#
example
配置为使用基于DNS的验证,通过 acme_client
指令中的 challenge=dns
参数指示。server
块适用于所有 example.com
的子域(例如,*.example.com
),并使用ACME客户端 example
来管理证书,如 acme
指令所指定。location
块被设置以处理外部服务的DNS验证调用。acme_hook
指令将服务器与ACME客户端 example
连接。请求通过 fastcgi_pass
指令代理到运行在9000端口的本地FastCGI服务器。fastcgi_param
指令将有关ACME客户端、钩子、挑战类型、域、令牌和密钥授权的数据传递给外部服务。acme_client example https://acme-v02.api.letsencrypt.org/directory
challenge=dns;
server {
listen 80;
server_name *.example.com;
acme example;
ssl_certificate $acme_cert_example;
ssl_certificate_key $acme_cert_key_example;
location @acme_hook_location {
acme_hook example;
fastcgi_pass localhost:9000;
fastcgi_param ACME_CLIENT $acme_hook_client;
fastcgi_param ACME_HOOK $acme_hook_name;
fastcgi_param ACME_CHALLENGE $acme_hook_challenge;
fastcgi_param ACME_DOMAIN $acme_hook_domain;
fastcgi_param ACME_TOKEN $acme_hook_token;
fastcgi_param ACME_KEYAUTH $acme_hook_keyauth;
include fastcgi.conf;
}
}
#!/usr/bin/perl
use strict; use warnings;
use FCGI;
my $socket = FCGI::OpenSocket(":9000", 5);
my $request = FCGI::Request(\*STDIN, \*STDOUT, \*STDERR, \%ENV, $socket);
while ($request->Accept() >= 0) {
print "\r\n";
my $client = $ENV{ACME_CLIENT};
my $hook = $ENV{ACME_HOOK};
my $challenge = $ENV{ACME_CHALLENGE};
my $domain = $ENV{ACME_DOMAIN};
my $token = $ENV{ACME_TOKEN};
my $keyauth = $ENV{ACME_KEYAUTH};
if ($hook eq 'add') {
DNS_set_TXT_record("_acme-challenge.$domain.", $keyauth);
} elsif ($hook eq 'remove') {
DNS_clear_TXT_record("_acme-challenge.$domain.");
}
};
FCGI::CloseSocket($socket);
DNS_set_TXT_record()
和 DNS_clear_TXT_record()
是假定用于在外部 DNS 服务器的配置中添加和删除 TXT 记录的函数,ACME 服务器会查询这些记录。这些记录必须包含由 Angie 服务器提供的数据,以允许成功验证,类似于 DNS验证 中描述的过程。这些函数的实现细节超出了本指南的范围。从 certbot 迁移#
$ sudo certbot --nginx -d example.com -d www.example.com
/etc/nginx/sites-available/example.conf
,看起来大致如下:server {
listen 80;
server_name example.com www.example.com;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
server_name example.com www.example.com;
root /var/www/example;
index index.html;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
location / {
try_files $uri $uri/ =404;
}
}
http {
resolver 127.0.0.53;
acme_client example https://acme-v02.api.letsencrypt.org/directory;
server {
listen 80;
return 444;
}
server {
listen 443 ssl;
server_name example.com www.example.com;
root /var/www/example;
index index.html;
acme example;
ssl_certificate $acme_cert_example;
ssl_certificate_key $acme_cert_key_example;
location / {
try_files $uri $uri/ =404;
}
}
}
$ sudo angie -s reload
$ sudo rm -rf /etc/letsencrypt
$ sudo systemctl stop certbot.timer
$ sudo systemctl disable certbot.timer
$ # -- 或 --
$ sudo rm /etc/cron.d/certbot
$ sudo apt remove certbot
$ # -- 或 --
$ sudo dnf remove certbot