生成证书

生成证书

如果你已经有其他证书可忽略,把证书和密钥放到服务器指定目录下。申请证书方法太多可通过安装acme.sh工具生成证书或其他方法生成证书,可Google搜索。

 

1.安装acem.sh证书生成工具,以下提供3种方法安装,选其中任意一种方法安装证书工具 (温馨提示:自动升级acme.sh在root下输入 acme.sh upgrade)

/root/.acme.sh
1
2
3
4
5
6
7
 
curl  https://get.acme.sh | sh   // 如提示安装失败 请先安装curl 输入 yum -y install curl

wget -O -  https://get.acme.sh | sh     //如提示安装失败请(先安装wget)输入 yum -y install wget 已经安装了忽略

git clone https://github.com/acmesh-official/acme.sh.git   // 如提示安装失败 先安装git 已经安装了的忽略 输入 yum install git
cd ./acme.sh
./acme.sh --install

通过以上代码安装acme.sh提示红色抱错 你可以按实际相关情况而定安装依赖 比如安装socat 或者 netcat

1
2
3
4
5
6
7
8
 
centos7  yum install openssl
centos7  yum install socat     #通过80端口生成证书的依赖
centos7  yum isntall netcat
       
debian  apt-get install openssl cron socat curl
debian  apt-get -y install netcat
       
安装成功后执行 source ~/.bashrc   #以确保脚本所设置的命令别名生效

2.生成证书 路径为/root/.acme.sh文件下 安装好后可自行查看
温馨提示:通过acme.sh生成证书有多种方法:
例如—自动DNS API集成 如:cloudflare DNS API 令牌 和 使用全局API密钥 acme.sh支持大多数dns生成证书
例如—使用DNS手动模式,等多种其他安装方法,如果你是个好学的人可Google

生成证书如下:本期视频只用指定端口 生成证书 推荐使用443端口生成证书 (一般用单域名足以,毕竟是翻墙用无需搞那么多花里胡哨的多域,比如:主域baidu.com那么不建议使用 www.baidu.com 因为是翻墙的前端web请自定义比如tw.baidu.com,前缀tw可以自定义请不要写太长,主域baidu.com和二级 www.baidu.com 可以备用你懂的 )

通过侦听80端口申请证书,如果80端口被占用,请使用443端口,请确保这些端口都打开了

1
 
sudo ~/.acme.sh/acme.sh --issue -d 域名 --standalone -k ec-256

如果您80在反向代理或负载均衡器后面使用非标准端口,则可以–httpport用来指定端口

1
 
sudo ~/.acme.sh/acme.sh --issue -d 域名 --standalone --httpport 端口

侦听443端口以颁发证书,请确保443端口开启

1
 
sudo ~/.acme.sh/acme.sh --issue -d 域名 --alpn -k ec-256

如果您443在反向代理或负载均衡器后面使用非标准端口,则可以–tlsport用来指定端口

1
 
sudo ~/.acme.sh/acme.sh --issue -d 域名 --alpn --tlsport 端口

-k表示密钥长度,后面的值可以是 ec-256 、ec-384、2048、3072、4096、8192,带有 ec 表示生成的是 ECC 证书,没有则是 RSA 证书。在安全性上 256 位的 ECC 证书等同于 3072 位的 RSA 证书

温馨提示:如何80或者443端口被占用导致我们无法申请密钥和证书,我们可以通过kill封杀端口在重新申请。

1
2
3
4
5
6
7
8
 
netstat -tlnp|grep 80
或者
netstat -tlnp|grep 443
然后
kill 1103(这个1103是进程端口id)

如果终止不了,可以强制终止
kill -9 1103

证书和密钥到指定路径

/etc/v2ray
1
2
3
 
ecc 迁移 sudo ~/.acme.sh/acme.sh --installcert -d 域名 --fullchainpath /etc/v2ray/v2ray.crt --keypath /etc/v2ray/v2ray.key --ecc

rsa 迁移 sudo ~/.acme.sh/acme.sh --installcert -d 域名 --fullchainpath /etc/v2ray/v2ray.crt --keypath /etc/v2ray/v2ray.key

將 /etc/v2ray/v2ray.key(路径可自定义) 修改為 644 权限

1
 
chmod 644 /etc/v2ray/v2ray.key

BBr安装

1
 
wget "https://raw.githubusercontent.com/ComeBey/rootfw-bbr/master/tcp.sh" && chmod +x tcp.sh && ./tcp.sh

查询tls开启状态

https://www.ssllabs.com/ssltest/index.html 输入自己域名查询即可
关于config.json配置文件可以自己写,当然也包括其他各种负载均衡,反向代理

发表评论

邮箱地址不会被公开。 必填项已用*标注