如何白嫖一个免费的泛域名SSL证书

安装ACME

目前使用量最大的免费SSL证书就是Let’s Encrypt，自2018-03开始，Let’s Encrypt官方发布上线了免费的SSL泛域名证书，目前通过DNS方式获取比较快，国内可以通过鹅云的DNSPod域名API或者猫云域名API自动签发Let’s Encrypt泛域名证书。因为鹅云使用的就是DNSPod域名，并且鹅云和DNSPod的账号是打通的，可以使用wx直接扫码登录。下文需要对鹅云和DNSPod进行操作，为了简化证书申请过程，需要提前安装acme.sh。acme.sh实现了acme协议，可以从Let’s Encrypt生成免费的证书，自动创建cron任务, 每天零点自动检测所有的证书，如果发现证书快过期了，需要更新，则acme.sh会自动更新证书，安装过程不会污染已有的系统任何功能和文件，所有的修改都限制在安装目录中。

先进行依赖下载和更新。如果服务器是CentOS系统，使用下面的命令：

yum update && yum install curl -y && yum install cron -y && yum install socat -y

如果服务器是Debian/Ubuntu系统，则使用下面的命令：

apt-get update && apt-get install curl -y && apt-get install cron -y && apt-get install socat -y

接着使用下面的命令安装acme.sh：

curl https://get.acme.sh | sh

如果控制台输出：

.....
Good, bash is found, so change the shebang to use....
OK
Install success!

说明acme.sh安装成功。

注册并配置DNSPod的秘钥

如果使用了鹅云的服务，直接wx扫码就可以登录DNSPod，否则需要注册绑定。登录之后，点击账号中心的「密钥管理」：

然后命名并且创建一个密钥：

记得要保存好秘钥的ID和Token，后面的步骤需要用到这两个配置。

申请证书

申请好DNSPod的秘钥，得到ID和Token之后，在服务器的环境变量中添加这几个值，执行命令：

export DP_Id='你的ID'
export DP_Key='你的Token'
export ACCOUNT_EMAIL='你的邮箱'

接着使用acme.sh申请签发证书，执行命令：

~/.acme.sh/acme.sh --issue --dns dns_dp -d throwable.club -d *.throwable.club

这里throwable.club是笔者的博客域名，如果需要颁发你自己的域名的SSL证书，这里替换为你的域名即可。接着静静等待acme.sh的脚本程序执行完毕，如果过程中没有发生其他意外，那么证书申请成功后的控制台日志如下：

证书文件会自动存放在/root/.acme.sh/域名目录下，例如/root/.acme.sh/throwable.club目录。查看/root/.acme.sh/throwable.club目录的内容：

其中，「fullchain.cer就是证书文件内容，而throwable.club.key就是证书的私钥」。

最后注意一下：

申请下来的泛域名SSL免费证书有效期只有3个月，但是acme.sh每晚零点会自动检测证书的有效期并且进行续期。

手动续期命令：acme.sh --cron --force --debug 2