lnmp 1.9生成SSL证书成功但证书不存在,目录有_ecc解决方法
如:https://bbs.vpser.net/thread-26482-1-1.html 帖子中提到的问题默认情况下正常的SSL证书目录为 /usr/local/nginx/conf/ssl/域名/ 但是acme.sh最近升级将默认的证书生成RSA的SSL证书调整为ECC证书,所以生成的SSL证书目录里acme.sh给加带上了_ecc的字样。
目前有3种解决方法:
1、执行如下命令进行修复
bash <(curl -s http://soft.vpser.net/lnmp/ext/fix_ssl_20230205.sh)
建议使用该命令进行修复
2、可以编辑一下 /bin/lnmp 查找--issue ${letsdomain} -w ${vhostdir} 替换为 --issue ${letsdomain} -w ${vhostdir} -k 2048 注意,这个前后都有空格,所有匹配的都替换掉
然后 rm -rf /usr/local/nginx/conf/ssl/www.domain.com_ecc/ 并将/usr/local/nginx/conf/vhost/www.domain.com.conf 中的ssl站点的整个server段删除,然后重新 lnmp ssl add 进行添加
3、可以修改 /usr/local/acme.sh/acme.sh 查找
DEFAULT_ACCOUNT_KEY_LENGTH=ec-256
DEFAULT_DOMAIN_KEY_LENGTH=ec-256
将后面的ec-256都更改为2048 保存,然后再 rm -rf /usr/local/nginx/conf/ssl/www.domain.com_ecc/ 并将/usr/local/nginx/conf/vhost/www.domain.com.conf 中的ssl站点的整个server段删除,然后重新 lnmp ssl add 进行添加
但是这样每次acme.sh升级了都需要再修改一下ec-256
我把lnmp里的
ssl_certificate="/usr/local/nginx/conf/ssl/${domain}/fullchain.cer"
ssl_certificate_key="/usr/local/nginx/conf/ssl/${domain}/${domain}.key"
改成了ssl/${domain}_ecc,再将Nginx配置文件对应的改了,重载配置 Baggy 发表于 2023-3-20 09:25
我把lnmp里的
改成了ssl/${domain}_ecc,再将Nginx配置文件对应的改了,重载配置 ...
ecc证书毕竟兼容性没rsa好 licess 发表于 2023-3-20 20:51
ecc证书毕竟兼容性没rsa好
确实,不过大势所趋了吧
去年github的docs里就在推荐用 ED25519 了,今年 新的ssh的指纹也默认 ED25519了,我查看known_hosts文件才发现的 感觉ECC证书还可以,至少我用的上海云盾完美兼容了! Baggy 发表于 2023-3-20 09:25
我把lnmp里的
改成了ssl/${domain}_ecc,再将Nginx配置文件对应的改了,重载配置 ...
军哥:
你好!
ssl_certificate="/usr/local/nginx/conf/ssl/${domain}/fullchain.cer"我看到有些教材是把acme.sh的默认生成的
fullchain.cer的名字和扩展名都改了,改成这个方式:域名.crt,这其中有什么玄机啊?哪个好呢?
军哥:你好。想问下 lnmp 1.7 安装包。我是apache 的。按照解决方法一,处理后。ssl的绿色标记还是没出现。/usr/local/apache/conf/vhost/www.xxxx.com.conf 里面关于
SSLEngine off
SSLCertificateFile /usr/local/apache/conf/ssl/www.xxxxx.com_ecc/www.xxxx.com.csr
SSLCertificateKeyFile /usr/local/apache/conf/ssl/www.xxxx.com_ecc/www.xxxx.com.key
#SSLCertificateChainFile /usr/local/apache/conf/ssl/www.xxxxx.com_ecc/ca.cer
Protocols h2 h2c http/1.1
还是没调整。仍然为我手动编辑前的样子。
请教下我该如何处理,才能继续做SSL 证书。感谢
页:
[1]