共計 2148 個字符，預計需要花費 6 分鐘才能閱讀完成。

本篇文章為大家展示了如何使用 RAM 快速簽署 Let s Encrypt 證書，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

前言

隨著互聯(lián)網的發(fā)展，我們對更安全更快速的互聯(lián)網有了很高的要求，相比大家對網頁劫持和網頁惡意掛馬一定是深惡痛絕了吧，那么怎么杜絕呢？通過 HTTPS 就可以簡單有效的杜絕這些行為，當然了，一些高級的劫持手段還是防不勝防。

要求 收獲

需要使用到的產品：

ECS/ 輕量應用服務器（安裝任意 Linux 發(fā)行版鏡像）

域名（僅需使用阿里云 DNS 即可）

教程 RAM 設置

使用 RAM 可以只為一個產品，甚至是一個產品中一個內容設置管理權限，例如我們可以使用 RAM 分配一個只能管理 DNS 的賬號，或者分配一個只能管理 DNS 下一個托管的域名的賬號。

這樣就可以有效的避免因為 AccessKey 泄露而導致的全局風險。希望大家千萬不要怕麻煩，經驗告訴我，節(jié)省這一分鐘可能要百倍千倍的還回來！

一、進入   訪問控制（RAM）  創(chuàng)建一個專門為 OSS 準備的用戶，一定要記錄好  AccessKeyID  和  AccessKeySecret

二、點擊   策略管理，然后點擊   新建授權策略

三、直接點擊   空白模板，然后輸入   授權策略名稱   后，輸入策略內容如下面：

{
  Version :  1 ,
  Statement : [
 {
  Action :  alidns:* ,
  Resource :  acs:alidns:*:*:domain/mf8.biz ,
  Effect :  Allow 
 },
 {
  Action : [
  alidns:DescribeSiteMonitorIspInfos ,
  alidns:DescribeSiteMonitorIspCityInfos ,
  alidns:DescribeSupportLines ,
  alidns:DescribeDomains 
 ],
  Resource :  acs:alidns:*:*:* ,
  Effect :  Allow 
 }
 ]
}

注意第六行的 Resource : acs:alidns:*:*:domain/mf8.biz , domain/mf8.biz  就是需要單獨管理的域名，將它換成自己的域名即可。

然后點擊   新建授權策略   保存

四、為該用戶進行授權

選擇我我們剛才創(chuàng)建的授權策略就行

ok，RAM 的設置到這里就完成了，第一次學習可能要個幾分鐘，到后面就是一分鐘的事情。

其他阿里云產品的 RAM 規(guī)則怎么辦呢？  搜索：  產品名稱 + RAM  就一定有你想要的答案！如果你想要的產品沒有 RAM 權限，可以私信我?guī)湍闾帷?/p>

ACME 設置

OK，現在我們要到 ECS 上進行 ECS 的簽發(fā)操作了，這里我們使用 Neilpang/acme.sh 作為申請 Let s Encrypt 的免費 ECC 證書。

如果你還不會遠程連接阿里云 ECS 可以參考：

【云計算的 1024 種玩法】使用 DMS 只要一個瀏覽器輕松搞定運維任務
【云計算的 1024 種玩法】ECS 和輕量應用服務器的遠程控制入門

一、運行下面代碼下載  acme.sh：

git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh

二、然后申明一下剛才我們通過 RAM 實現的 AccessKey：

export Ali_Key= ADBIkEeexNshGF9t 
export Ali_Secret= E7crn0HT3l11WP87dLF70fN6tmf8biz

三、然后就可以開始簽發(fā)證書了，這句話就是通過 阿里云云解析 的 API 給  mf8.biz  和  www.mf8.biz  兩個域名簽發(fā)證書：

./acme.sh --issue --dns dns_ali -d mf8.biz -d www.mf8.biz

如果簽署 ECC 證書就可以使用：

./acme.sh --issue --dns dns_ali -d mf8.biz -d www.mf8.biz --keylength ec-256

四、然后等待幾分鐘，我們可以喝杯咖啡，做個眼保健操，逃~，等待證書的自動簽發(fā)。

五、安裝一下證書：

./acme.sh --installcert -d mf8.biz -d www.mf8.biz \
 --keypath /usr/local/openresty/nginx/conf/ssl/mf8.biz.key \
 --fullchainpath /usr/local/openresty/nginx/conf/ssl/mf8.biz.crt \
 --reloadcmd  systemctl restart openresty

解釋一下：

–installcert  就是簽署給那個域名的
–keypath  就是儲存 key 文件的路徑
–fullchainpath  就是儲存 crt 文件的路徑
–reloadcmd  就是證書所應用的軟件的重啟命令，例如我們使用 openresty 作為 Web 軟件，那么就輸入這個命令，方便以后證書續(xù)期后軟件自動幫助重啟。

OK，這樣我們就快速獲得了一枚 Let s Encrypt 證書

上述內容就是如何使用 RAM 快速簽署 Let s Encrypt 證書，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注丸趣 TV 行業(yè)資訊頻道。