SSL – 良的世界

达梦数据库配置SSL认证加密

shine — Tue, 10 Jun 2025 09:08:24 +0000

原文地址：
https://eco.dameng.com/community/article/af22b724ddb048f400003a7312122f28
https://eco.dameng.com/community/article/c068d29ff069a34dc029fe9247c48796

一、环境介绍

OS Version：CentOS Linux 8.2

DB Version：DM V8 1-3-26-2023.06.14-193125-20046-ENT

OpenSSL：OpenSSL 1.1.1k

JAVA：openjdk version “1.8.0_332”

参考手册：《DM8_DISQL使用手册》《DM8安全管理》《DM8程序员手册》

DM8 产品手册 | 达梦技术社区

二、配置过程

2.1 配置openssl配置文件

KylinV10 SP1或者Centos 7默认配置文件为/etc/pki/tls/openssl.cnf。也可以单独创建一个配置文件，在操作时指定该配置文件。

备份openssl.cnf文件，并修改[ CA_default ]这一段内容部分配置项，其余默认。

[ CA_default ]

dir		= /opt/ca		# Where everything is kept
certs		= $dir/certs		# Where the issued certs are kept
crl_dir		= $dir/crl		# Where the issued crl are kept
database	= $dir/index.txt	# database index file.
#unique_subject	= no			# Set to 'no' to allow creation of
					# several certs with same subject.
new_certs_dir	= $dir/newcerts		# default place for new certs.

certificate	= $dir/ca-cert.pem 	# The CA certificate
serial		= $dir/serial 		# The current serial number
crlnumber	= $dir/crlnumber	# the current crl number
					# must be commented out to leave a V1 CRL
crl		= $dir/crl.pem 		# The current CRL
private_key	= $dir/ca-key.pem       # The private key

x509_extensions	= usr_cert		# The extensions to add to the cert

2.2 创建配置文件中对应的主要目录和文件

[root@shine ~]# mkdir -p /opt/ca
[root@shine ~]# cd /opt/ca
[root@shine ca]# mkdir {certs,crl,newcerts}
[root@shine ca]# echo "01" > serial
[root@shine ca]# touch index.txt
##创建达梦数据库服务器和客户端证书文件存放目录
[root@shine ca]# mkdir server_ssl
[root@shine ca]# mkdir client_ssl
##创建SYSDBA用户客户端证书存放目录，其他用户请创建与用户名相同的目录
[root@shine ca]# mkdir -p client_ssl/SYSDBA

2.3 生成CA私钥和根证书

[root@shine ca]# openssl req -new -x509 -days 3650 -keyout ca-key.pem -out ca-cert.pem -subj "/C=cn/ST=Beijing/L=Beijing/O=dameng/OU=server/CN=shine/emailAddress=shine@dm.com"
Generating a RSA private key
.....................................................................................+++++
......................................+++++
writing new private key to 'ca-key.pem'
Enter PEM pass phrase:                        #设置CA私钥的存储密码，本次测试设置为123456
Verifying - Enter PEM pass phrase:
-----
[root@shine ca]# ls
ca-cert.pem  ca-key.pem  certs  client_ssl  crl  index.txt  newcerts  serial  server_ssl

ca-key.pem 为私钥文件，ca-cert.pem为根证书

文件后缀简要说明：

.key ：私钥文件, 也可以使用“.pem”后缀。“.pem”后缀时，通常文件包含证书和私钥中的一种或者多种
.csr : 证书签名请求（证书请求文件），含有公钥信息，certificate signing request的缩写
.crl : 证书吊销列表，Certificate Revocation List的缩写

subj选项说明：

Country Name : 缩写为“C” 证书持有者所在国家要求填写国家代码
State or Province Name : 缩写为“ST“ 证书持有者所在州或省份
Locality Name : 缩写为“L” 证书持有者所在城市
Organization Name : 缩写为“O“ 证书持有者所属组织或公司
Organizational Unit Name : 缩写为“OU” 证书持有者所属部门
Common Name : 缩写为“CN“ 证书持有者的通用名
Email Address : 证书持有者的通信邮箱

2.4 生成服务器私钥和被CA签名的证书

2.4.1 生成私钥文件

[root@shine ca]# openssl genrsa -out server_ssl/server-key.pem
Generating RSA private key, 2048 bit long modulus (2 primes)
.................................................................................................................+++++
..............................................................+++++
e is 65537 (0x010001)

##注意服务器端的私钥，为了方便不设置加密

注意：
如果服务端的私钥是带存储密码的，那么启动服务器的时候一定要使用命令行方式来启动，即dmserver c:\dmdbms\data\DAMENG\dm.ini，否则不能开启通信加密认证，因为只有这种方式才会让输入服务端私钥的密码。

2.4.2 生成证书签发申请

[root@shine ca]# openssl req -new -key server_ssl/server-key.pem -out server_ssl/server.csr -subj "/C=cn/ST=Beijing/L=Beijing/O=dameng/OU=server/CN=shine/emailAddress=shine@dm.com"

2.4.3 使用根证书和签发申请生成证书

[root@shine ca]# openssl ca -days 3650 -in server_ssl/server.csr -out server_ssl/server-cert.pem
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /opt/ca/ca-key.pem:                #输入生成CA私钥时设置的存储密码，上面设置的是123456
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Aug 11 09:23:40 2021 GMT
            Not After : Aug  9 09:23:40 2031 GMT
        Subject:
            countryName               = cn
            stateOrProvinceName       = Beijing
            organizationName          = dameng
            organizationalUnitName    = server
            commonName                = shine
            emailAddress              = shine@dm.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                46:E9:80:E8:CC:1D:7E:DB:E3:05:FF:8C:3B:77:43:51:9B:16:05:43
            X509v3 Authority Key Identifier: 
                keyid:61:05:BE:3F:A9:DE:2D:9A:7F:2A:BA:0E:45:97:47:5B:E8:0C:D7:7E

Certificate is to be certified until Aug  9 09:23:40 2031 GMT (3650 days)
Sign the certificate? [y/n]:y                       #输入y


1 out of 1 certificate requests certified, commit? [y/n]y      #输入y
Write out database with 1 new entries
Data Base Updated

2.4.4 将证书格式转换为x509格式

[root@shine ca]# openssl x509 -in server_ssl/server-cert.pem -out server_ssl/server.cer
[root@shine ca]# ll server_ssl/
total 28
-rwxrwxrwx 1 root root 1407 Jun 10 13:56 ca-cert.pem
-rwxrwxrwx 1 root root 1854 Jun 10 13:56 ca-key.pem
-rwxrwxrwx 1 root root 1411 Jun 10 13:54 server.cer
-rwxrwxrwx 1 root root 4572 Jun 10 13:54 server-cert.pem
-rwxrwxrwx 1 root root 1037 Jun 10 13:54 server.csr
-rwxrwxrwx 1 root root 1675 Jun 10 13:54 server-key.pem

2.4.5 将CA自签名的证书拷贝到server_ssl目录中

[root@shine ca]# cp ca-cert.pem server_ssl/
[root@shine ca]# cp ca-key.pem server_ssl/

2.5 生成客户端用户私钥和被CA签名的证书

2.5.1 生成私钥文件

[root@shine ca]# openssl genrsa -aes256 -out client_ssl/SYSDBA/client-key.pem
Generating RSA private key, 2048 bit long modulus (2 primes)
............................+++++
..+++++
e is 65537 (0x010001)
Enter pass phrase for client_ssl/SYSDBA/client-key.pem:               #设置私钥密码，本次测试设置为dameng
Verifying - Enter pass phrase for client_ssl/SYSDBA/client-key.pem:  #再输入一次

#-aes256表示使用AES算法对产生的私钥加密

2.5.2 生成证书签发申请

[root@shine ca]# openssl req -new -key client_ssl/SYSDBA/client-key.pem -out client_ssl/SYSDBA/client.csr -subj "/C=cn/ST=Beijing/L=Beijing/O=dameng/OU=server/CN=SYSDBA/emailAddress=dmclient@dm.com"
Enter pass phrase for client_ssl/SYSDBA/client-key.pem:  #输入上一步生成私钥文件时设置的密码

2.5.3 使用根证书和签发申请生成证书

[root@shine ca]# openssl ca -days 365 -in client_ssl/SYSDBA/client.csr -out client_ssl/SYSDBA/client-cert.pem
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /opt/ca/ca-key.pem:         #输入设置的CA私钥存储密码
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 2 (0x2)
        Validity
            Not Before: Aug 11 09:39:23 2021 GMT
            Not After : Aug 11 09:39:23 2022 GMT
        Subject:
            countryName               = cn
            stateOrProvinceName       = Beijing
            organizationName          = dameng
            organizationalUnitName    = server
            commonName                = SYSDBA
            emailAddress              = dmclient@dm.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                E1:BB:5E:A0:E6:7C:38:40:FD:BB:6B:B8:2E:6E:2C:46:1C:E3:AF:1C
            X509v3 Authority Key Identifier: 
                keyid:61:05:BE:3F:A9:DE:2D:9A:7F:2A:BA:0E:45:97:47:5B:E8:0C:D7:7E

Certificate is to be certified until Aug 11 09:39:23 2022 GMT (365 days)
Sign the certificate? [y/n]:y                #输入y


1 out of 1 certificate requests certified, commit? [y/n]y        #输入y
Write out database with 1 new entries
Data Base Updated

2.5.4 转换client-pkcs.p12

将生成的X509格式的client-key.pem和client-cert.pem合并转换为pkcs12格式的文件client-pkcs.p12

[root@shine ca]# openssl pkcs12 -export -inkey client_ssl/SYSDBA/client-key.pem -in client_ssl/SYSDBA/client-cert.pem -out client_ssl/SYSDBA/client-pkcs.p12
Enter pass phrase for client_ssl/SYSDBA/client-key.pem:    #输入之前设置的客户端私钥存储密码（dameng）
Enter Export Password:            #设置export password，本次测试设置为abc123
Verifying - Enter Export Password: #再输入一次

2.5.5 生成JDBC访问需要的.keystore文件

导入所有证书到keystore文件，并设置keystore文件密码为abc123（-deststorepass）

[root@shine ca]# keytool -import -alias ca -trustcacerts -file ca-cert.pem -keystore client_ssl/SYSDBA/.keystore -deststorepass abc123 -noprompt
证书已添加到密钥库中
[root@shine ca]# keytool -import -alias server -trustcacerts -file server_ssl/server.cer -keystore client_ssl/SYSDBA/.keystore -deststorepass abc123 -noprompt
证书已添加到密钥库中
[root@shine ca]# keytool -importkeystore -srckeystore client_ssl/SYSDBA/client-pkcs.p12 -srcstorepass abc123  -srcstoretype PKCS12 -keystore client_ssl/SYSDBA/.keystore  -deststorepass abc123
正在将密钥库 client_ssl/SYSDBA/client-pkcs.p12 导入到 client_ssl/SYSDBA/.keystore...
已成功导入别名 1 的条目。
已完成导入命令: 1 个条目成功导入, 0 个条目失败或取消

Warning:
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore client_ssl/SYSDBA/.keystore -destkeystore client_ssl/SYSDBA/.keystore -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。

执行上面警告的内容：（可选）

[root@shine ca]# keytool -importkeystore -srckeystore client_ssl/SYSDBA/.keystore -destkeystore client_ssl/SYSDBA/.keystore -deststoretype pkcs12
输入源密钥库口令:           #输入之前的export password，abc123
已成功导入别名 ca 的条目。
已成功导入别名 1 的条目。
已成功导入别名 server 的条目。
已完成导入命令: 3 个条目成功导入, 0 个条目失败或取消

Warning:
已将 "client_ssl/SYSDBA/.keystore" 迁移到 Non JKS/JCEKS。将 JKS 密钥库作为 "client_ssl/SYSDBA/.keystore.old" 进行了备份。

2.5.6 将CA自签名的证书拷贝到client_ssl/SYSDBA目录中

[root@shine ca]# cp ca-cert.pem client_ssl/SYSDBA/
[root@shine ca]# ls -la client_ssl/SYSDBA/
total 48
drwxrwxrwx 2 root root 4096 Jun 10 14:13 .
drwxrwxrwx 3 root root 4096 Jun 10 13:41 ..
-rwxrwxrwx 1 root root 1407 Jun 10 14:13 ca-cert.pem
-rwxrwxrwx 1 root root 4580 Jun 10 14:01 client-cert.pem
-rwxrwxrwx 1 root root 1045 Jun 10 14:00 client.csr
-rwxrwxrwx 1 root root 1766 Jun 10 13:58 client-key.pem
-rwxrwxrwx 1 root root 2605 Jun 10 14:01 client-pkcs.p12
-rwxrwxrwx 1 root root 4869 Jun 10 14:12 .keystore
-rwxrwxrwx 1 root root 4411 Jun 10 14:12 .keystore.old

2.6 部署SERVER端证书

将/opt/ca/server_ssl整个目录拷贝到达梦数据库安装目录下的bin目录下，默认在bin目录下存在server_ssl目录。可以先将默认的server_ssl目录重命名，然后拷贝。

[root@shine ca]# cd /home/dmdba/dmdbms/bin
[root@shine bin]# mv server_ssl server_ssl_bak2
[root@shine bin]# cp /opt/ca/server_ssl ./ -r
[root@shine bin]# chmod -R 777 server_ssl
[root@shine bin]# ll server_ssl
total 28
-rwxrwxrwx 1 root root 1407 Jun 10 14:13 ca-cert.pem
-rwxrwxrwx 1 root root 1854 Jun 10 14:13 ca-key.pem
-rwxrwxrwx 1 root root 1411 Jun 10 14:13 server.cer
-rwxrwxrwx 1 root root 4572 Jun 10 14:13 server-cert.pem
-rwxrwxrwx 1 root root 1037 Jun 10 14:13 server.csr
-rwxrwxrwx 1 root root 1675 Jun 10 14:13 server-key.pem

2.7 部署client端证书

将/opt/ca/client_ssl整个目录拷贝到客户端机器上。如果是Linux机器，需要注意目录权限，可以将整个目录设置为777权限。

chmod 777 -R client_ssl

如果是通过jdbc接口来加密访问数据库，是使用的.keystore文件；

如果是通过ODBC或者其他方式加密访问数据库，那么是使用ca-cert.pem、client-cert.pem和client-key.pem三个文件。

2.8 数据库启用SSL认证和通信加密

是否使用通信加密以DM数据库服务器端的设置为准，即通过设置服务器配置文件dm.ini中的ENABLE_ENCRYPT或者COMM_ENCRYPT_NAME参数来指定，ENABLE_ENCRYPT可以开启传输层通讯加密，COMM_ENCRYPT_NAME可以开启应用层消息通讯加密，两个层次上的加密是互不干扰，互不影响，可以同时开启这两个层次上的加密，也可以开启其中一个，如果开启传输层消息加密需要配置SSL证书。客户端以服务器采用的通信方式与其进行通信。

ENABLE_ENCRYPT：取值0、1和2，含义义分别为：

0表示在传输层不开启SSL认证和SSL通信加密；
1表示在传输层开启SSL认证和SSL通信加密；
2表示在传输层仅开启SSL认证,但不开启SSL加密。

COMM_ENCRYPT_NAME参数用来指定应用层消息通信的加密算法名，指定加密算法后，即可开启应用层通信加密（无需配置ENABLE_ENCRYPT）。如果为空则不进行通信加密；如果给的加密算法名错误，则使用加密算法DES_CFB。应用层的这种加密非常适合两端缺少数字证书的情况。
DM支持的加密算法名可以通过查询动态视图V$CIPHERS获取。

修改数据库参数：

---开启应用层通讯加密（测试通讯加密）
SQL> SF_SET_SYSTEM_PARA_VALUE('COMM_ENCRYPT_NAME','RC4',1,2);
DMSQL 过程已成功完成
已用时间: 7.093(毫秒). 执行号:500.

---开启SSL认证（测试SSL认证登录）
SQL> SF_SET_SYSTEM_PARA_VALUE('ENABLE_ENCRYPT',2,1,2);
DMSQL 过程已成功完成
已用时间: 5.268(毫秒). 执行号:501.
SQL> SELECT * FROM V$PARAMETER WHERE NAME='ENABLE_ENCRYPT' OR NAME='COMM_ENCRYPT_NAME';

行号     ID          NAME              TYPE    VALUE SYS_VALUE FILE_VALUE
---------- ----------- ----------------- ------- ----- --------- ----------
           DESCRIPTION                                                                                 
           --------------------------------------------------------------------------------------------
1          454         ENABLE_ENCRYPT    IN FILE 0     0         2
           Encrypt Mode For Communication, 0: Without Encryption; 1: SSL Encryption; 2: SSL Authentication

2          476         COMM_ENCRYPT_NAME IN FILE                 RC4
           Communication encrypt name, if it is null then the communication is not encrypted

重启数据库生效。

三、SSL认证登录测试

如果是通过jdbc接口来加密访问数据库，是使用的.keystore文件，所以SSL认证密码是keystore文件的密码；

如果是通过ODBC或者其他方式加密访问数据库，那么是使用ca-cert.pem、client-cert.pem和client-key.pem三个文件，所以SSL密码为客户端私钥密码。

3.1 disql工具登录

[dmdba@shine ~]$ disql SYSDBA/'"Dameng@!23"'@localhost:5236#"{SSL_PATH=/opt/ca/client_ssl/SYSDBA,SSL_PWD=dameng}"

Server[localhost:5236]:mode is normal, state is open
login used time : 9.523(ms)
disql V8
SQL> exit
## 或者
[dmdba@shine ~]$ disql /nolog
disql V8
SQL> login
server:localhost
username:SYSDBA
password:
SSL path:/opt/ca/client_ssl/SYSDBA
SSL PWD:
UKEY NAME:
UKEY PIN:
MPP TYPE:
read/write separate(y/n):
protocol type:

Server[localhost:5236]:mode is normal, state is open
login used time : 9.058(ms)
SQL>

3.2 管理工具登录

管理工具连接数据库的方式是通过JDBC，所以SSL密码为keystore文件密码，而非客户端私钥密码。

这里的密码使用的是keystore文件的密码（abc123）

3.3 JDBC程序连接配置

JDBC通过SSL认证方式登录数据库需要添加连接串属性sslFilesPath和sslKeystorePass，简要配置如下：

String name="dm.jdbc.driver.DmDriver";
String url="jdbc:dm://ip:5236?sslFilesPath=C:\\dmdbms\\bin\\client_ssl\\SYSDBA&sslKeystorePass=abc123";
String user="SYSDBA";
String password="SYSDBA";

3.4 逻辑导出导入

[dmdba@shine ~]$ dexp USERID=SYSDBA/SYSDBA@localhost:5236#"{SSL_PATH=/opt/ca/client_ssl/SYSDBA,SSL_PWD=dameng}" FILE=FULL.DMP LOG=EXP.LOG DIRECTORY=./ FULL=Y ROWS=Y

3.5 SQLark连接

URL
jdbc:dm://ip:port?sslFilesPath=D:\client_ssl\SYSDBA&sslKeystorePass=123456

网站SSL证书过期替换手册

shine — Tue, 03 Jun 2025 02:19:44 +0000

一、前言

本站使用的是FreeSSL网站提供的免费证书，由于证书的有效期是三个月，所以每三个月就需要替换一次新的证书。因此，特此记录下替换证书的整个过程，以便后续替换时参考。

二、替换步骤

2.1 申请证书

选择单域名类型即可

填写证书域名，点击提交

此时会跳转到KeyManager，若此前并未安装直接选择下载安装，然后同样跳转到KeyManager，此时KeyManager会弹出如下窗口

2.2 添加DNS解析

然后返回浏览器继续操作，点击继续，然后会弹出如下窗口

这是一条DNS解析，将此条解析添加到服务器域名的解析列表中（我的域名注册于华为云平台），按上述图片内容配置红框位置后，确认，完成添加。

再回到FREESSL，点击我已配置完成后回到订单列表可以看到刚刚申请的证书

点击验证，进行验证刚刚添加的DNS解析，验证成功后如下

2.3 KeyManager一键部署

点击保存到KeyManager，便可将证书保存到客户端软件，后续便可一键部署

一键部署前需要配置部署信息，选择服务器类型，用户名、主机名、端口、证书存放路径、私钥存放路径、重载命令、服务器密码

配置完成后便可进行一键部署，刷新网页查看证书信息是否生效

至此，证书替换完成。

三、自动化管理

FreeSSL网站提供了自动化管理功能

3.1 域名预授权

同样配置好DNS解析（这个过程参考上边）后点击配置完成，立即检测，验证通过后如下

3.2 申请证书

3.3 设置参数

/usr/local/nginx/ssl/full_chain.pem
/usr/local/nginx/ssl/private.key

3.4 客户端部署

最后会显示安装部署客户端的步骤，依次执行

3.4.1 客户端初始化（首次使用）

a.下载客户端

[root@shine ~]# curl https://get.acme.sh | sh -s email=leonshinel@163.com
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1032    0  1032    0     0    677      0 --:--:--  0:00:01 --:--:--   676
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  221k  100  221k    0     0   733k      0 --:--:-- --:--:-- --:--:--  733k
[Tue Jun  3 10:39:19 CST 2025] Installing from online archive.
[Tue Jun  3 10:39:19 CST 2025] Downloading https://github.com/acmesh-official/acme.sh/archive/master.tar.gz
[Tue Jun  3 10:39:21 CST 2025] Extracting master.tar.gz
[Tue Jun  3 10:39:21 CST 2025] It is recommended to install socat first.
[Tue Jun  3 10:39:21 CST 2025] We use socat for the standalone server, which is used for standalone mode.
[Tue Jun  3 10:39:21 CST 2025] If you don't want to use standalone mode, you may ignore this warning.
[Tue Jun  3 10:39:21 CST 2025] Installing to /root/.acme.sh
[Tue Jun  3 10:39:21 CST 2025] Installed to /root/.acme.sh/acme.sh
[Tue Jun  3 10:39:21 CST 2025] Installing alias to '/root/.bashrc'
[Tue Jun  3 10:39:21 CST 2025] Close and reopen your terminal to start using acme.sh
[Tue Jun  3 10:39:21 CST 2025] Installing alias to '/root/.cshrc'
[Tue Jun  3 10:39:21 CST 2025] Installing alias to '/root/.tcshrc'
[Tue Jun  3 10:39:21 CST 2025] Installing cron job
[Tue Jun  3 10:39:21 CST 2025] bash has been found. Changing the shebang to use bash as preferred.
[Tue Jun  3 10:39:22 CST 2025] OK
[Tue Jun  3 10:39:22 CST 2025] Install success!

b.注册 ACME 账户

不知道为啥第一步环境变量没配上，不过没关系，直接进到目录中进行执行即可

[root@shine .acme.sh]# pwd
/root/.acme.sh
[root@shine .acme.sh]# ./acme.sh --register-account --server https://acmepro.freessl.cn/v2/DV --eab-kid aWm2G_OMBrVt9Ssk_79fnR_cwuUNxvZFAoHm-rTXR3g --eab-hmac-key MD8CAQACCQCm9eI054tO9wIDAQABAggquQyS1v0oAQIFAN6O_gECBQDADDz3AgUA2apAAQIFAKls4ocCBDvEWoM
[Tue Jun  3 10:41:37 CST 2025] Account key creation OK.
[Tue Jun  3 10:41:38 CST 2025] Registering account: https://acmepro.freessl.cn/v2/DV
[Tue Jun  3 10:41:38 CST 2025] Registered
[Tue Jun  3 10:41:38 CST 2025] ACCOUNT_THUMBPRINT='yKX_KD_1TBhifHZdiFhvFb4Ljjl3Lw7VYlNn2xB7-EA'

3.4.2 申请部署证书

a.申请证书

[root@shine .acme.sh]# ./acme.sh --issue --dns dns_tencent -d www.lemonary.cn --server https://acmepro.freessl.cn/v2/DV
[Tue Jun  3 10:43:52 CST 2025] Using CA: https://acmepro.freessl.cn/v2/DV
[Tue Jun  3 10:43:52 CST 2025] Creating domain key
[Tue Jun  3 10:43:52 CST 2025] The domain key is here: /root/.acme.sh/www.lemonary.cn_ecc/www.lemonary.cn.key
[Tue Jun  3 10:43:52 CST 2025] Single domain='www.lemonary.cn'
[Tue Jun  3 10:44:01 CST 2025] Getting webroot for domain='www.lemonary.cn'
[Tue Jun  3 10:44:02 CST 2025] www.lemonary.cn is already verified, skipping dns-01.
[Tue Jun  3 10:44:02 CST 2025] Verification finished, beginning signing.
[Tue Jun  3 10:44:02 CST 2025] Let's finalize the order.
[Tue Jun  3 10:44:02 CST 2025] Le_OrderFinalize='https://acmepro.freessl.cn/v2/finalize/Np1GjvLl'
[Tue Jun  3 10:44:08 CST 2025] Order status is 'processing', let's sleep and retry.
[Tue Jun  3 10:44:11 CST 2025] Polling order status: https://acmepro.freessl.cn/v2/order/Np1GjvLl
[Tue Jun  3 10:44:13 CST 2025] Downloading cert.
[Tue Jun  3 10:44:13 CST 2025] Le_LinkCert='https://acmepro.freessl.cn/v2/cert/75847FE7968914EAC292FF5E8E50CDCCF9D62904'
[Tue Jun  3 10:44:14 CST 2025] Cert success.

b.部署证书

[root@shine .acme.sh]# ./acme.sh --install-cert -d www.lemonary.cn --fullchain-file /usr/local/nginx/ssl/full_chain.pem --key-file /usr/local/nginx/ssl/private.key --reloadcmd "nginx -s reload" 
[Tue Jun  3 10:44:38 CST 2025] The domain 'www.lemonary.cn' seems to already have an ECC cert, let's use it.
[Tue Jun  3 10:44:38 CST 2025] Installing key to: /usr/local/nginx/ssl/private.key
[Tue Jun  3 10:44:38 CST 2025] Installing full chain to: /usr/local/nginx/ssl/full_chain.pem
[Tue Jun  3 10:44:38 CST 2025] Running reload cmd: nginx -s reload
[Tue Jun  3 10:44:38 CST 2025] Reload successful

c.确认开启自动续期

[root@shine .acme.sh]# crontab -l | grep acme
21 15 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

至此，证书的自动化管理已经配置完成。

站点健康之HTTP与HTTPS

shine — Mon, 02 Dec 2024 09:31:59 +0000

一、概述

不需要了解太详细，我们只需要知道HTTPS比HTTP更安全。简单来说 HTTPS 是 HTTP 的安全版，是使用 TLS/SSL 加密的 HTTP 协议。

二、把HTTP换成HTTPS

2.1 申请证书

免费的，花钱的都可以，能够把证书申请下来就可以。各种云厂商都提供SSL证书服务，例如：阿里云、腾讯云、华为云……也可以用一些免费的，例如：来此加密、FREESSL、Cloudflare等等。

申请证书的过程就不在此介绍了，在申请证书的网站一步一步照着做就可以。

证书申请成功后，将证书文件下载，上传到服务器nginx目录。一般只需要上传证书中的证书链文件（fullchain.crt）和私钥文件（private.pem）。【证书文件名大多类似，名字或格式略有差别】

我在nginx目录下创建了ssl文件夹，用于存放证书文件：

[root@dameng ssl]# pwd
/usr/local/nginx/ssl
[root@dameng ssl]# ll
total 20
-rw-r--r-- 1 root root 2836 Dec  2 13:29 fullchain.crt
-rw-r--r-- 1 root root 6372 Dec  2 16:47 full_chain.pem
-rw-r--r-- 1 root root 1732 Dec  2 16:47 private.key
-rw-r--r-- 1 root root  241 Dec  2 11:31 private.pem

注意
我存放了两套证书，所以有四个文件，正常情况下有一套就可以。

2.2 修改nginx配置

编辑配置文件nginx.conf，只需要修改server部分就行

server {
        listen 80;
        server_name 你的域名;
        #将HTTP重定向到HTTPS
        return 301 https://$server_name$request_uri;
}
server
    {
        listen 443 ssl;
        ssl_stapling on;
        ssl_stapling_verify on;
        #请填写证书文件的相对路径或绝对路径
        ssl_certificate "/usr/local/nginx/ssl/full_chain.pem";
        #请填写私钥文件的相对路径或绝对路径
        ssl_certificate_key "/usr/local/nginx/ssl/private.key";
        
        #listen 80 default_server reuseport;
        #listen [::]:80 default_server ipv6only=on;
        server_name 你的域名;
        ……
        ……
        ……

保存并重新加载nginx

[root@dameng conf]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@dameng conf]# nginx -s reload

三、其他问题

由于我在申请SSL证书的同一天将域名解析到我的IP（也就是网站IP与域名绑定），碰到了一些意料之外的问题：

网站上所有的图片都加载不出来。
还有一个神奇的现象，就是页面加载后会把我底部音乐播放器的音乐封面铺满整个网页。

后续我也找到了解决的方法：准备工作是要下载一个插件Unlimited Elements for Elementor。

图片加载不出来是因为图片都在WordPress媒体库并且图片的链接还是以前的IP链接，例如：https://xxx.xxx.xxx.xxx/wp-content/uploads/2024/11/头像-e1731570721610.jpg，需要将媒体库文件链接中所有的IP替换掉。当然不用一个一个的改，从WordPress的设置-常规里把WordPress地址（URL）和站点地址（URL）修改成域名。修改完成后，再次登录WordPress管理界面时，上述插件Unlimited Elements for Elementor会提示将网站从IP地址迁移到新的域名，点击迁移即可解决问题。
另外，音乐播放器封面的问题，我怀疑是我在申请SSL证书时没有填写顶级域名（lemonary.cn）而是只填了二级域名（www.lemonary.cn）导致的，我没有证实这一问题。但是在我将只填了二级域名的SSL证书替换掉后，这个现象也就没再出现过。

所以大家在替换域名和申请SSL证书时要注意以下两点：

WordPress的媒体库中的文件链接需要修改，可以用插件统一修改。
SSL证书申请时一定要写好两个域名：顶级域名和二级域名（带www的和不带www的）。