「Dehydrated」:修訂間差異
跳至導覽
跳至搜尋
本頁面具有訪問限制。如果您看見此訊息,這代表您沒有訪問本頁面的權限。
(→域名設定) |
(→進階設定) |
||
| 行 21: | 行 21: | ||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
OCSP_MUST_STAPLE=yes | OCSP_MUST_STAPLE=yes | ||
</syntaxhighlight> | |||
在<code>config</code>內可以設定<code>KEYSIZE</code>,預設是4096,可以改成2048: | |||
<syntaxhighlight lang="bash"> | |||
KEYSIZE=2048 | |||
</syntaxhighlight> | </syntaxhighlight> | ||
於 2018年4月19日 (四) 09:32 的修訂
dehydrated是一套支援ACME協定的套件(目前僅由Let's Encrypt提供服務)。
安裝
$ sudo add-apt-repository ppa:gslin/dehydrated
$ sudo apt update
$ sudo apt install dehydrated
基本設定
dehydrated在偵測到/etc/dehydrated/config或/usr/local/etc/dehydrated/config時(兩個都有時前者優先),會將/etc/dehydrated或是/usr/local/etc當作設定目錄,所以我們需要產生/etc/dehydrated/config,目前裡面不需要有東西:
$ sudo mkdir /etc/dehydrated
$ sudo touch /etc/dehydrated/config
進階設定
在config內可以設定開啟憑證內標示一定要開OCSP Stapling:
OCSP_MUST_STAPLE=yes
在config內可以設定KEYSIZE,預設是4096,可以改成2048:
KEYSIZE=2048
域名設定
Domain
Domain的認證可以透過http-01或是dns-01的協定,這邊是用http-01的方式認證。
在domains.txt內一行是一張憑證,有幾種方式可以設定。
一張憑證一個域名
一行放一個域名,將需要申請的網域名稱放到domains.txt內:
$ cd /etc/dehydrated
$ echo 'blog.gslin.org' | sudo tee -a domains.txt
$ echo 'wiki.gslin.org' | sudo tee -a domains.txt
一張憑證多個域名
將想要放在同一張憑證的域名放在同一行,一樣是domains.txt內:
$ cd /etc/dehydrated
$ echo 'blog.gslin.org wiki.gslin.org' | sudo tee -a domains.txt
Wildcard
Wildcard的認證只能透過dns-01,而且一定要有一個主域名(沒有*)的:
$ cd /etc/dehydrated
$ echo 'gslin.org *.gslin.org' | sudo tee -a domains.txt
執行
第一次需要同意條款:
$ sudo dehydrated --register --accept-terms
之後就可以用-c自動更新:
$ sudo dehydrated -c
後續
上面提到更新的指令可以放到/etc/cron.weekly內執行,透過傳回值可以判斷是否有更新,然後重跑nginx或是Postfix(以及其他有用到的服務)。