cloudxns DNS 验证方式快速获取 lets-encrypt 证书的 shell 脚本
clanned 2016-02-02 13:51:52 +08:00 8056 次点击这是一个创建于 3599 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://github.com/xdtianyu/scripts/tree/master/le-dns
脚本基于 letsencrypt.sh,通过调用 cloudxns API 更新 TXT 记录用于认证,实现快速获取 lets-encrypt 证书。无需 root 权限,无需指定网站目录及 DNS 解析
下载
wget https://github.com/xdtianyu/scripts/raw/master/le-dns/le-cloudxns.sh wget https://github.com/xdtianyu/scripts/raw/master/le-dns/cloudxns.conf chmod +x le-cloudxns.sh 配置
cloudxns.conf 文件内容
API_KEY="YOUR_API_KEY" SECRET_KEY="YOUR_SECRET_KEY" DOMAIN="example.com" CERT_DOMAINS="example.com www.example.com im.example.com" 修改其中的 API_KEY 及 SECRET_KEY 为您的 cloudxns api key ,修改 DOMAIN 为你的根域名,
修改 CERT_DOMAINS 为您要签的域名列表
运行
./le-cloudxns.sh cloudxns.conf
最后生成的文件在当前目录的 certs 目录下
cron 定时任务
每两个月自动更新一次证书,可以在 le-cloudxns.sh 脚本最后加入 service nginx reload 等重新加载服务。
* * * */2 * /etc/nginx/le-cloudxns.sh /etc/nginx/le-cloudxns.conf >> /var/log/le-cloudxns.log 2>&1
第 1 条附言 2016-02-21 13:31:02 +08:00
正文的 cron 命令错了,会在每分钟都执行,修复如下
cron 定时任务
每两个月(第一天 00:00)自动更新一次证书,可以在 le-cloudxns.sh 脚本最后加入 service nginx reload 等重新加载服务。
0 0 1 */2 * /etc/nginx/le-cloudxns.sh /etc/nginx/le-cloudxns.conf >> /var/log/le-cloudxns.log 2>&1
 | 1 xonze 2016-02-02 14:19:48 +08:00 牛 x ,这个方法好 |
 | 2 mdemo 2016-02-02 14:22:59 +08:00 赞 |
 | 3 CloudXNS 2016-02-02 14:29:59 +08:00  1 这个不错,不过应该首发到 X 社区才是(●ˇˇ●) |
 | 4 wm5d8b 2016-02-02 17:13:54 +08:00 TXT 记录的主机记录是什么?主域名的 TXT 记录用在其他服务上了 |
 | 5 clanned OP 1 @wm5d8b 同域名 TXT 记录可以有多个的,不知道有冲突没。另外这个不会影响到你的根域名 txt 记录,写入的 txt 记录是 _acme-challenge.example.com _acme-challenge.www.example.com 这样的形式。 |
| 7 clanned OP @wm5d8b 你是说生成的文件名吗?这是个多域名证书,域名都在 “ alternative subject name ”里,检查下证书详情应该可以看到。 |
 | 9 aitaii 2016-04-08 22:02:58 +08:00 hello,i have a problem:ERROR: Problem connecting to server (curl returned with 7) + ERROR: An error occurred while sending post-request to https://acme-v01.api.letsencrypt.org/acme/new-authz (Status 400) Details: {"type":"urn:acme:error:badNonce","detail":"JWS has no anti-replay nonce","status":400} how to do it ? |
| 10 aitaii 2016-04-08 22:13:12 +08:00 Domain locked,please unlock domain first in other option page 该域名已被用户锁定,请先解锁 |
| 11 clanned OP @aitaii 参考这里 https://community.letsencrypt.org/t/getting-the-client-sent-an-unacceptable-anti-replay-nonce/9172/18 应该是 le 服务端的问题,建议重试下,注意尽量不要超过一周内七次的限制 |
 | 12 YvesX 2016-04-11 02:05:56 +08:00 呀,发现了一个对我而言尽善尽美的办法,不枉熬夜。 赞扬楼主! |
 | 13 jackton 2016-09-22 09:49:43 +08:00 这办法不错.试试 |
 | 14 kyvi 2016-12-16 09:32:21 +08:00 @clanned ,问你个问题, letsencrypt 实现自动更新证书,我查的好像都是要更新或者 reload web 服务器才可以,我这的是 tomcat 上配置的 ssl 证书,有办法不重启 tomcat 更新 ssl 证书吗?毕竟生产环境没有办法频繁重启 tomcat |
| 15 clanned OP |
| 16 kyvi 2016-12-19 11:33:29 +08:00 @clanned ,我还有个问题想请教下, t/328499#reply3 |
 | 17 wkl17 2017-08-19 21:47:20 +08:00 如果能加个判断 异常时 自动重试 就更好了。(因为过程中,有时会遇到 403 之类的错误,遇到至少 2 次还是 3 次了 就中断了,必须重新执行) |
Select Language