acme自动申请续签SSL证书的工具
我这里有ipv6公网地址,我已经提前购买了域名。并做了ddns-go解析。完成后再开始以下的步骤。
1、安装软件包
安装acme-acmesh-dnsapi
安装luci-app-acme
2、配置acme
刷新web界面。找到服务-ACME证书,在全局配置中填写自己的电子邮件地址。
删除所有证书配置。添加新证书配置 cmcc_openwrt
在常规设置中勾选启用,填写自己的域名。及泛域名,验证方式选择DNS
DNS质询验证配置如下。我的域名提供商为Aliyun。dns api就选择 alibaba. 在阿里云控制台穿件ak sk. AK/SK权限选择包含FULLDNS字样这个
最后再保存并应用,配置完成后,颁发证书可能需要一段时间。从日志中查看签署进度和错误。
证书存放位置 /etc/ssl/acme
logread|grep acme
#存放证书的软连接。如果等待一段时间后该目录下还是空的。再重新运行一下acme
ll -a /etc/ssl/acme
/etc/init.d/acme start
如果过了很久还是没有生成证书。可能的原因有以下几点:
1、网络问题。需要科学上网
2、域名证书申请有限制。同一个域名每天不能有超过x次。
3、uhttpd配置
生成的证书也可以在web界面查看到路径
#公钥
/etc/ssl/acme/rongtech.top.fullchain.crt
#私钥
/etc/ssl/acme/rongtech.top.key
生成证书后,将uhttpd的证书配置执行acme生成的证书。启动uhttpd服务
4、验证通过https+域名访问路由器
访问成功
查看计划任务可以看到。acme自动添加了一个定时任务。这样证书就可以自动申请和续期。
5、防火墙放开2443端口,外网测试访问路由器
如果你需要在外网访问路由器。就需要打开https监听的对应端口。我这里是2433. 默认端口443由于运营商限制不一定可以使用。
打开防火墙。新建通信规则。
配置完成后,点击保存。最后再点击页面下方的保存并应用。