0%

之前尝试了以最小系统权限运行证书签发脚本,上面用到的服务器在香港特区,所以下载和更新脚本软件都很快,但换用内地的服务器就无法更新软件。好在有 Docker Hub 镜像网站的存在,直接拉取容器镜像部署就完事了,顺便就探索了下用容器化的办法来安装 acme.sh,并且更新证书到容器的宿主机上的方法。

前言:这个月,我为网站启用了 HSTS 预加载 标志以提高网站的安全评级。因为主站部署在 CDN 上,证书一年更新一次即可,而手动更新众多子域名就麻烦了,所以使用证书自动签发脚本部署免费的 Let's Encrypt 泛域名证书是最方便的选择。

acme.sh 是目前功能最全面、安装最简单的证书签发脚本。纯粹使用 DNS API 模式申请证书无需多余的系统权限,只需要联网、能读写文件就能签发证书。重新将证书载入到 Nginx 和 Apache 等网页服务器的过程往往需要重启该软件,因此使用脚本时一般会赋予 sudo 特权或者直接从 root 用户安装。如果直接按照指南安装 acme.sh,没有任何问题,而你如果想追求更极致的系统安全,那么下面的步骤可能也会对你有帮助。

Debian 操作系统常用配置,是根据我的服务器操作系统环境总结归纳的一些常用配置指令和环境参数。这些配置主要涵盖防火墙、入侵检测、传输优化、名称解析、网页服务器。由于 Ubuntu 衍生自 Debian,因此软件安装和配置体验上大致相同。

使用 Hexo 静态网站生成框架和 NexT 主题构建简洁的静态博客,上传到对象存储或者静态网页空间就能立即投入使用,省去了托管主机的烦恼。同时,对象存储再搭配合适的内容分发网络,能优化网站投递性能。