[开源]基于 acme.sh 的 SSL 证书分发服务，NAT 鸡的福音-七夏浅笑

一个小工具而已，开始写来打算自己用的，已开源，如果大家用的上的话，骗个 star~

服务器比较多的可以用来更方便的在每台服务器上部署和自动更新免费通配符证书了（特别是 NAT 鸡），基于 acme.sh

原理的话教程里面有提到，没多少含金量，但好使 (*^▽^*)

开源地址（内附简明教程）：https://github.com/julydate/acmeDeliver

教程：使用 acme.sh 部署通配符证书申请与分发服务 (https://www.julydate.com/post/462996681/)

按教程把服务端部署一次之后，所有客户端只需要像下面这样三行命令就能把证书同步过来，基本无需安装其它东西

curl -sLo /root/acmeDeliverClient.sh https://raw.githubusercontent.com/julydate/acmeDeliver/client/client.sh
chmod +x /root/acmeDeliverClient.sh
/root/acmeDeliverClient.sh-d "example.com" -p "password" -s "http://233.233.233.233:9929" -c "0"

然后设置 crontab 定期执行一下就能一直不用管了

其实 NAT 鸡部署证书也能直接用 acme.sh，但是总觉得每次新开一台机器就要敲一堆命令去安装脚本，还要每次去找 DNS API 上面的 Token 粘贴进去，小鸡多了之后把 Token 放的到处都是总觉得也不舒服，另外申请证书的 API 调用次数应该也是有限制的，不过一般不容易达到，还有就是应该能更方便的支持 windows，等一个有缘人做个 windows 的客户端，我暂时懒得弄了，毕竟不是专门做开发的（才不是因为我不会

反正使用之后就能更方便安全的在各种 NAT 机，IPv6 机和没有公网 IP 的机器上同步 SSL 证书了
另外服务端有其它的用法的话，自己探索吧~

热议
推荐楼 Showfom

已经支持了，我都用了好久他们的 ECC 证书了

推荐楼 diocat 2022-3-8 17:59:44

我是放在https目录下，用ssh批量执行curl直接拉下来

3楼 zxxx 2022-3-8 18:03:29

谢谢大佬分享！

4楼 iversonlive 2022-3-8 18:04:11

一直都手动复制粘贴的漂过

5楼 七夏浅笑 2022-3-8 18:05:49

我是放在https目录下，用ssh批量执行curl直接拉下来

嗯嗯，原理差不多也是这样，不过加了密码

6楼 七夏浅笑 2022-3-8 18:17:01

一直都手动复制粘贴的漂过

就是多了之后每次更新都累死了，然后经常证书过期了都不知道，然后哪天突然发现某个服务崩了还不知道为啥，一查日志

SSL certificate problem

〒▽〒

7楼 kezhao 2022-3-8 18:20:53

学习了。看看怎么样

8楼 zhongziso 2022-3-8 18:21:25

学习一下

10楼 七夏浅笑 2022-3-8 18:28:01

你的教程需要更正下

哦哦，好诶~

12楼 七夏浅笑 2022-3-8 19:16:26

不错，之前一直有这个想法，可惜对我自己来讲比较繁琐+应用价值不高所以没搞。既然楼主已经造好了轮子那不 ...

诶嘿~我也是找了一圈发现没有合适的，才自己弄了一个

13楼 swds 2022-3-8 19:18:52

我有个vps申请所有证书，然后定时scp同步到各个小鸡
windows 靠syncthing同步。不过非常郁闷的是win不支持文件名*号，所以没能同步通配符证书

14楼 七夏浅笑 2022-3-8 19:25:53

我有个vps申请所有证书，然后定时scp同步到各个小鸡
windows 靠syncthing同步。不过非常郁闷的是win不支持 ...

嗯嗯，之前也看过这个方法，然后想到每个小鸡都能登陆那台申请证书服务端的 ssh 就放弃了，不过如果单独拿一台服务器只用来申请和存放证书的话就还不错

15楼 jieky 2022-3-8 19:26:02

我有个vps申请所有证书，然后定时scp同步到各个小鸡
windows 靠syncthing同步。不过非常郁闷的是win不支持 ...

可以生成后改名再同步

16楼 swds 2022-3-8 19:50:00

可以生成后改名再同步

好主意，我试试看

17楼 dunce 2022-3-8 19:50:54

我嗅到了二次猿的气息

18楼 dunce 2022-3-8 19:52:58

话说有考虑用cf workers做服务端吗，这样就不需要中心服务器了

19楼 七夏浅笑 2022-3-8 21:40:15

我嗅到了二次猿的气息

二次元多好，来个三连吧 OvO

20楼 aliyunyun 2022-3-8 22:50:22

真不错

22楼 march_chen 2022-3-8 23:06:57

谢谢大佬分享！

23楼 七夏浅笑 2022-3-9 00:10:32

搞不懂，续发证书的时候不是要验证域名吗，我一般是FILE验证。这样～～～～～～～～～ ...

用 DNS API 验证，续发的时候还是自动调用 DNS API，用这个的话只需要服务端对接 DNS API 去续就行了

24楼 lisa1937 2022-3-9 00:21:12

其实一台弄出泛域名后，可以用h5ai or caddy文件服务弄出直链，
其他机器crontab 1个月定时wget即可

25楼 七夏浅笑 2022-3-9 01:15:39

其实一台弄出泛域名后，可以用h5ai or caddy文件服务弄出直链，
其他机器crontab 1个月定时wget即可 ...

教程里倒是有提到过，不过就是怕被别人下到，毕竟通配符证书

26楼 deepflow 昨天20:28

支持无私分享。

27楼 zhuer456789 昨天20:58

我现在用caddy+dnspod模块自动申请ssl，这样不需要对外开放http端口，caddy反向代理还是很方便

28楼 woputby 昨天21:14

没懂啊，例如我有3只小鸡，每只小鸡搭配了一个不同的域名，那这种怎么分发证书啊，域名不一样会报错吧

29楼 misakano 昨天21:19

mark

30楼 啥都不会 昨天21:33

没懂啊，例如我有3只小鸡，每只小鸡搭配了一个不同的域名，那这种怎么分发证书啊，域名不一样会报错吧 ...

不同子域名的话可以，通配符

32楼 hcyme 昨天22:14

一直都是自签证的，梯子够用了

33楼 七夏浅笑 17分钟前

就是说a.com,b.com,c.com这种不行，1.a.com,2.a.com这种行是吗？大佬

是呀，*.a.com的通配符，就可以匹配 1.a.com2.a.com3.a.com 这些

34楼 七夏浅笑 15分钟前

一直都是自签证的，梯子够用了

但是客户端不锁 CA 的话会不太安全吧

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。