前言

let's encrypt提供免費的憑證真的很棒，不過，三個月要更新一次憑證是不是有點麻煩，
本文介紹，如何透過getssl，產生多域名的SAN憑證設定，放入排程自動進行憑證更新。
非常簡單哦，六個步驟即可搞定。

註:在下方的過程中，我使用非root的權限進行設定，如果你需要使用root才能重啟您的nginx主機，
請自行調整您安裝的使用者，或者是web server的重啟指令。

步驟

1. 透過git下載gessl，並且存成scripts。
git clone https://github.com/srvrco/getssl scripts

2.第一次使用，執行如下指令
cd scripts
./getssl -c ccc.tc

請將上方哉名ccc.tc換成您自己的域名。
就會在您的家目錄，建立.getssl的資料夾及ccc.tc的目錄了
creating main config file /home/devin_yang/.getssl/getssl.cfg
Making domain directory - /home/devin_yang/.getssl/ccc.tc
creating domain config file in /home/devin_yang/.getssl/ccc.tc/getssl.cfg

3.用vim編輯設定，簡單拷貝第二步顯示的路徑即可。
vim /home/devin_yang/.getssl/ccc.tc/getssl.cfg

4.以下的getssl.cfg設定僅供參考，請依您自己實際的主機目錄及憑證資料夾，進行調整。

#選取發送憑證的主機
CA="https://acme-v01.api.letsencrypt.org"
#額外的域名
SANS="www.ccc.tc, devin.ccc.tc, mail.ccc.tc"

#設定ACME路徑，因為我是安裝在dlaravel的環境，ccc為我的project目錄。
#記得要在public下，建立該目錄.well-known/acme-challenge
ACL=('/home/devin_yang/dlaravel/sites/ccc/public/.well-known/acme-challenge')
USE_SINGLE_ACL="true"

#設定憑證路徑
CA_CERT_LOCATION="/home/devin_yang/dlaravel/etc/ssl/cert.crt"
DOMAIN_CHAIN_LOCATION="/home/devin_yang/dlaravel/etc/ssl/fullchain.pem"
DOMAIN_PEM_LOCATION="/home/devin_yang/dlaravel/etc/ssl/privkey.pem"
#D-Laravel的nginx重載指令
RELOAD_CMD="bash -c 'cd /home/devin_yang/dlaravel; ./console reload'"

#設定主機類型
​​​​​​​SERVER_TYPE="https"

關於RELOAD_CMD，如果您並非使用D-Laravel(docker-compose環境)，
例如: nginx，重載方式在nginx應該是nginx -s reload，或在舊版CentOS或RedHat的Apache上，應該可以用service httpd graceful。
關於主機部份的相關設定及說明就不在說明了，本文我假定讀者已設定好了let's encrypt的憑證在主機上，只是要完成自動更新功能。

5.手動更新憑證，並進行nginx主機重啟
cd ~/scripts
 ./getssl ccc.tc

6.使用crontab放入排程每明檢查，自動進行更新

15 5 * * * /home/devin_yang/scripts/getssl -u -a -q

補充:如果需強制更新憑證，我們可以用-f參數，例如我的SAN又補了新的域名

getssl -f ccc.tc

關於nginx上的憑證設定方式，可以參考我這篇:
如何設定nginx上的HTTPS，取得Qualys的SSL A+評分