一,ECC+RSA双证书的签发
1.下载安装acme.sh
wget -O - https://get.acme.sh | sh
2. 取得Cloudflare API
参见Cloudflare官方说明,这里我们接下来使用的是 Global API Key
3.签发ECC和RSA双证书
export CF_Key="yourCFkey"
export CF_Email="youremail@youremail.com"
签发ECC证书,其中ec-256可以更换为ec-384
./acme.sh --issue --dns dns_cf -d yourdomain.com -d *.yourdomain.com -k ec-256 --server letsencrypt --preferred-chain "ISRG Root X1"
签发RSA证书,其中2048可以换成3072或4096
./acme.sh --issue --dns dns_cf -d yourdomain.com -d *.yourdomain.com -k 2048 --server letsencrypt --preferred-chain "ISRG Root X1"
二,双证书,HSTS,OCSP stapling的启用
修改nginx的配置文件,参见Mozilla推荐的配置