菜单

openwrt使用https安全web管理-acme

发布于 2025年04月15日

acme自动申请续签SSL证书的工具

我这里有ipv6公网地址,我已经提前购买了域名。并做了ddns-go解析。完成后再开始以下的步骤。

1、安装软件包

安装acme-acmesh-dnsapi

安装luci-app-acme

2、配置acme

刷新web界面。找到服务-ACME证书,在全局配置中填写自己的电子邮件地址。

删除所有证书配置。添加新证书配置 cmcc_openwrt

在常规设置中勾选启用,填写自己的域名。及泛域名,验证方式选择DNS

DNS质询验证配置如下。我的域名提供商为Aliyun。dns api就选择 alibaba. 在阿里云控制台穿件ak sk. AK/SK权限选择包含FULLDNS字样这个

最后再保存并应用,配置完成后,颁发证书可能需要一段时间。从日志中查看签署进度和错误。


证书存放位置 /etc/ssl/acme

logread|grep acme
#存放证书的软连接。如果等待一段时间后该目录下还是空的。再重新运行一下acme
ll -a /etc/ssl/acme
/etc/init.d/acme start

如果过了很久还是没有生成证书。可能的原因有以下几点:

1、网络问题。需要科学上网

2、域名证书申请有限制。同一个域名每天不能有超过x次。

3、uhttpd配置

生成的证书也可以在web界面查看到路径

#公钥
/etc/ssl/acme/rongtech.top.fullchain.crt
#私钥
/etc/ssl/acme/rongtech.top.key

生成证书后,将uhttpd的证书配置执行acme生成的证书。启动uhttpd服务

4、验证通过https+域名访问路由器

访问成功

查看计划任务可以看到。acme自动添加了一个定时任务。这样证书就可以自动申请和续期。

5、防火墙放开2443端口,外网测试访问路由器

如果你需要在外网访问路由器。就需要打开https监听的对应端口。我这里是2433. 默认端口443由于运营商限制不一定可以使用。

打开防火墙。新建通信规则。

配置完成后,点击保存。最后再点击页面下方的保存并应用。



评论