使用lego签发Let's Encrypt的证书

五年前Let‘s Encrypt还不支持泛域名证书，我这个懒人为了省事，一下子买了五年的wildcard证书。截止到2020年7月22日，Let’s Encrypt已经有近六千四百万活跃的域名，有一亿三千六百万个证书，每天签发近一百五十万次。最重要的是证书全部是免费的，经过这几年的发展，Let‘s encrypt已经是目前互联网最重要的组织之一。而且周边和教程都已经非常成熟了，客户端就有几十种。我的网站要求就两点，一是能支持签发和续签widlcard证书，第二就是要使用简单，最终综合比较了一下选择了Lego。

Lego是Go语言写的，使用之前要先安装GoLang。

一、安装GoLang
从官网下载go语言相应版本的客户端，解压安装即可，需要注意以下两点:

1. Linux系统下不要安装多个版本的GO
2. 需要正确设置GOROOT和环境变量。

不然编译lego会有很多错误，例如go的解压后的目录在/usr/local/go,设置如下：

export GOROOT=/usr/local/go
export PATH=$PATH:$GOROOT/bin/

将这两条设置放到profile或者bash_profile中即可，和JDK设置类似，这里不需要多说。

二、编译Lego
编译就比较简单了，两条命令即可：

git clone https://github.com/go-acme/lego
cd lego && make build

等待执行完，编译好的文件在dist目录下，复制到PATH里就可以直接用了。

三、签发和续签证书
使用超级简单，签发和续签一条命令即可。泛域名证书只能通过dns验证，需要域名NS的api key，具体支持的ns厂商可以通过：

lego dnshelp

查看需要设置的参数：

lego dnshelp -c dnspod

签发需要先设置api，dnspod完整的API Token是由 ID,Token 组合而成，用英文的逗号分割：

export DNSPOD_API_KEY="ID_xxxx,Token_xxxxxx"
export DNSPOD_HTTP_TIMEOUT="300"

签发：

lego --email="will@nixops.me" --domains="nixops.me" --domains="*.nixops.me" --accept-tos --path=/tmp/lego/ --dns="dnspod"  --dns.resolvers="8.8.8.8" run

--run-hook: 签发成功后执行的命令或脚本

续签：

lego --email="will@nixops.me" --domains="nixops.me" --domains="*.nixops.me" --accept-tos --path=/tmp/lego --dns="dnspod" renew --reuse-key 

--reuse-key: 不重新生成私钥
--renew-hook: 续签成功后执行的命令或脚本，如替换证书，reload服务
--days: 可以指定提前续期的天数

四、自动签发和续签脚本

#!/bin/bash

lego_bin=/root/lego/lego
save_path=/usr/local/keys/
account_email="will@nixops.me"

export DNSPOD_API_KEY="ID_xxxx,Token_xxxxxx"
export DNSPOD_HTTP_TIMEOUT="300"


case $1 in

run)
    $lego_bin --email="$account_email" --domains="*.$2" --domains="$2" --accept-tos --path=$save_path --dns="dnspod"  --dns.resolvers="1.1.1.1" run --run-hook="`readlink -f $0` reload"  >>/var/log/letencrypt.log
;;

renew)
    for domain in `$lego_bin  --path=$save_path list -n` ; do
    $lego_bin --email="$account_email" --domains="*.$domain" --domains="$domain" --accept-tos --path=$save_path --dns="dnspod" renew --reuse-key --renew-hook="`readlink -f $0` reload" >>/var/log/letencrypt.log 
done
;;

reload)
    cp -f $save_path/certificates/*.crt /usr/local/openresty/nginx/conf/vhosts/keys/
    cp -f $save_path/certificates/*.key /usr/local/openresty/nginx/conf/vhosts/keys/
    rm -rf /usr/local/openresty/nginx/conf/vhosts/keys/*.issuer.crt
    /usr/local/openresty/bin/openresty -s reload
   ;;

*)
   echo "黙认签发泛域名证书，只写根域名即可"
   echo "证书保存在 $save_path"
   echo "用法: 1. 签发证书 $0 run nixops.me"
   echo "用法: 2. 续签证书 $0 renew "
   echo "用法: 3. 复制证书，reload服务 $0 reload"
   
;;
esac

将以上脚本加入crontab中，每天执行一次renew:

crontab -e
15 3  * * * /usr/local/bin/ssl.sh renew nixops.me >>/dev/null 2>&1

最后不得不说，DNSPOD、namesilo的ns太渣了，默认解析TTL太长导致dns验证的签发和续签都太慢，失败太常见了，成功才是偶然。付费的ns一般都比较稳定，例如aws的router53能在2分钟内签发完成,免费ns测试cloudflare不错，其它的没有测试过。