导语:
之前有写了一篇 免费给网站加https
非泛域名的,这边介绍一下泛域名再阿里云上通过DNS自动验证申请证书。
非泛域名的也可以参考上面的链接。
配置 阿里云key
安装acme.sh
两种方式
第一种:
wget -O - https://get.acme.sh | sh -s email=11940083**@qq.com
第二种:
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
生成证书
acme.sh --issue --dns dns_ali -d *.dingdong.site
安装
acme.sh --install-cert -d *.dingdong.site --key-file 你的路径/dingdong.site.key --fullchain-file 你的路径/fullchain.cer
配置ngix
这边要注意的,上面我申请 *.dingdong.site 所以只能是两级的域名,不能给 api.api.dingdong.site 使用证书。不然会报服务不安全。
server
{
# 你的其他配置...
listen 443 ssl;
ssl_certificate /xxx/ssl/fullchain.cer;
ssl_certificate_key /xxx/dingdong.site.key;
}
其他相关参数
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_timeout 10m;
#使用ssl_session_cache优化https下Nginx的性能
ssl_session_cache builtin:1000 shared:SSL:10m;
#OCSP Stapling 开启。OCSP是用于在线查询证书吊销情况的服务,使用OCSP Stapling能将证书有效状态的信息缓存到服务器,提高 TLS 握手速度
ssl_stapling on;
#OCSP Stapling 验证开启
ssl_stapling_verify on;