windows在cygwin64下使用acme.sh批量签发Let's Encrypt的ssl证书，并用

盘就完了

使用前提

本脚本是在使用阿里云Windows服务器的前提，如果使用其他dns服务，请参看acme.sh的dns相关文档

配置好cygwin64、acme.sh并配置好阿里云账户，openssl最好也安装上

cygwin64配置

如果windows server 08R2启动安装程序失败，请使用cmd运行

1. setup-x86_64.exe --allow-unsupported-windows --site http://ctm.crouchingtigerhiddenfruitbat.org/pub/cygwin/circa/64bit/2024/01/30/231215 --no-verify

复制代码

其他老旧系统请参考cygwin64官网网页的How can I install the last Cygwin version for an old, unsupported Windows回答
acme.sh配置

openssl参考,添加-certpbe PBE-SHA1-3DES -keypbe PBE-SHA1-3DES -nomac 是为了应对pfx输入密钥不正确

最终路径就是项目路径

以下是batch脚本，请保存在autoacme.bat文件中

1. @echo off & setlocal EnableDelayedExpansion
3. :: 数组长度，不用管，会自己加值
4. set objLength=0
5. :: 公共证书备份路径
6. set commonPath=E:\cert
7. :: cygwin64用户路径
8. set cygwinPath=E:\Cygwin64\home\Administrator
9. :: cygwin64内部用户路径
10. set cygwinUserPath=/home/Administrator
11. :: pfx文件密钥，这里的密钥必须和powershell里的pfx密钥一致
12. set pfxPassword=dgfdgsdfg
14. :: 如果公共路径不存在，那么创建,如果路径已存在，不影响命令继续执行
15. md %commonPath%
17. :: 证书在以下列表中添加即可
18. :: 指定域名
19. set obj[%objLength%]*domain=www.test.com
20. :: 最终路径
21. set obj[%objLength%]*path=D:\Web\Main
23. set /a objLength+=1
24. :: 指定域名
25. set obj[%objLength%]*domain=buy.test.com
26. :: 最终路径
27. set obj[%objLength%]*path=D:\Web\buy
29. set /a objLength+=1
30. :: 指定域名
31. set obj[%objLength%]*domain=go.test.com
32. :: 最终路径
33. set obj[%objLength%]*path=D:\Web\Go
35. :: 初始索引
36. set objIndex=0
37. :: 重试次数
38. set retryCnt=0
39. ::循环
40. :loopStart
41. ::判断索引值是否大于数组长度，大于的话跳到结束，不大于的话继续循环
42. if %objIndex% gtr %objLength% goto end
44. ::初始化当前变量
45. set curr.domain=0
46. set curr.path=0
47. ::重置重试次数
48. set /a retryCnt=0
50. :: delims==*表示使用=和*分割字符串，tokens=1-3是取切割后字符串的前1到3个，循环对象的每个属性，%%i 是如 obj[0] 标识是第几个对象， %%j 标识是对象的那个属性，%%k 是指定对象属性的值
51. for /f "usebackq delims==* tokens=1-3" %%i in (`set obj[%objIndex%]`) do (
52.     :: 赋值变量
53.     set curr.%%j=%%k
54. )
56. echo domain=%curr.domain%
57. echo path=%curr.path%
59. :: 登录到cygwin使用acme.sh签发证书，并将文件拷贝到公共证书目录，并转成pfx格式，密码统一使用%pfxPassword%
60. echo 签发%curr.domain%证书
61. :: 设置执行命令后缀，这里是acme.sh相关命令，修改dns api就在这里
62. set issueCmd=--issue --dns dns_ali -d %curr.domain% --fullchain-file %cygwinUserPath%/.acme.sh/%curr.domain%_ecc/%curr.domain%.pem --key-file %cygwinUserPath%/.acme.sh/%curr.domain%_ecc/%curr.domain%.key
63. bash --login -i -c "acme.sh %issueCmd%"
65. echo 检查%curr.domain%key文件大小和backup目录是否存在文件
66. set byte=0
67. for %%A in ("%cygwinPath%\.acme.sh\%curr.domain%_ecc\%curr.domain%.key") do (
68.         set /a byte=%%~zA
69. )
71. echo %curr.domain%.key大小:%byte%字节
72. :: 如果key文件大小为零
73. if %byte% equ 0 (
74.     if EXIST %cygwinPath%\.acme.sh\%curr.domain%_ecc\backup\key.bak (
75.         echo 检查key.bak的大小
76.         for %%A in ("%cygwinPath%\.acme.sh\%curr.domain%_ecc\backup\key.bak") do (
77.             set /a byte=%%~zA
78.         )
79.         :: bak文件不为零，那么拷贝覆盖
80.         echo /backup/key.bak大小:%byte%字节
81.         if %byte% equ 0 (
82.             echo 拷贝key.bak到根目录
83.             copy %cygwinPath%\.acme.sh\%curr.domain%_ecc\backup\key.bak %cygwinPath%\.acme.sh\%curr.domain%_ecc\%curr.domain%.key /y
84.         ) else (
85.             :: 如果全部失败，那么直接重新申请
86.             :forceIssue
87.             echo 尝试重新申请%curr.domain%证书第%retryCnt%次
88.             bash --login -i -c "acme.sh %issueCmd% --force"
89.             :: 重试一次，加一次次数
90.             set /a retryCnt+=1
91.         )
92.     )
93. )
95. echo 拷贝key文件到公共目录
96. copy %cygwinPath%\.acme.sh\%curr.domain%_ecc\%curr.domain%.key %commonPath%\%curr.domain%.key /y
98. echo 赋予权限
99. bash --login -i -c "chmod -R g+rw %cygwinUserPath%/.acme.sh/%curr.domain%_ecc"
101. echo 第一次检查%curr.domain%.pfx文件是否存在
102. IF NOT EXIST %cygwinPath%\.acme.sh\%curr.domain%_ecc\%curr.domain%.pfx (
103.     echo openssl转换pfx,因为acme.sh转换失败
104.     openssl pkcs12 -export -certpbe PBE-SHA1-3DES -keypbe PBE-SHA1-3DES -nomac -out %cygwinPath%\.acme.sh\%curr.domain%_ecc\%curr.domain%.pfx -inkey %cygwinPath%\.acme.sh\%curr.domain%_ecc\%curr.domain%.key -in %cygwinPath%\.acme.sh\%curr.domain%_ecc\%curr.domain%.cer -password pass:"%pfxPassword%"
105. )
107. echo 第二次检查%curr.domain%.pfx文件是否存在
108. IF NOT EXIST %cygwinPath%\.acme.sh\%curr.domain%_ecc\%curr.domain%.pfx (
109.     IF %retryCnt% gtr 3 goto skipCurr
110.     else goto forceIssue
111. )
113. echo 拷贝pfx文件到公共目录
114. copy %cygwinPath%\.acme.sh\%curr.domain%_ecc\%curr.domain%.pfx %commonPath%\%curr.domain%.pfx /y
116. :: 如果pem格式文件不存在，那么使用openssl转换成pem格式
117. IF NOT EXIST %cygwinPath%\.acme.sh\%curr.domain%_ecc\%curr.domain%.pem (
118.     echo openssl转换pem
119.     openssl pkcs12 -in %cygwinPath%\.acme.sh\%curr.domain%_ecc\%curr.domain%.pfx -out %cygwinPath%\.acme.sh\%curr.domain%_ecc\%curr.domain%.pem -nodes -password pass:"%pfxPassword%"
120. )
122. :: 拷贝pem文件到公共目录
123. echo 拷贝pem到公共目录
124. copy %cygwinPath%\.acme.sh\%curr.domain%_ecc\%curr.domain%.pem %commonPath%\%curr.domain%.pem /y
126. :: 拷贝证书到最终路径，如果路径相等会直接拷贝失败，如果最终路径不存在，也会拷贝失败
127. echo 拷贝%curr.domain%证书到项目目录
128. copy %commonPath%\%curr.domain%.pem %curr.path%\%curr.domain%.pem /y & copy %commonPath%\%curr.domain%.key %curr.path%\%curr.domain%.key /y & copy %commonPath%\%curr.domain%.pfx %curr.path%\%curr.domain%.pfx /y
131. :skipCurr
132. :: 索引+1
133. set /a objIndex=%objIndex% + 1
134. :: 继续循环
135. goto loopStart
137. :end
138. :: 暂停看结果
139. :: pause
140. :: 执行完后退出
141. exit

复制代码

PowerShell 脚本，使用前，更改执行策略

关于执行策略：
https://learn.microsoft.com/zh-cn/powershell/module/microsoft.powershell.core/about/about_execution_policies?view=powershell-7.4#powershell-execution-policies

1. Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser

复制代码

将以下脚本保存为reissueIISCert.ps1文件

1. # 使用前先将策略设置为不严格 Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
2. # 保证证书有效的情况下再运行次脚本，将证书名称、证书目录、密钥放入以下数组
3. # 公共证书密钥
4. $pfxpassword = "dgfdgsdfg"
5. # 公共证书路径
6. $pfxCommandDir= "E:\cert"
7. # 域名
8. $domain="test.com"
9. # 服务器上的证书与端口映射关系
10. $data = @(
11.     [pscustomobject]@{subDomain = 'www';port=443}
12.     [pscustomobject]@{subDomain = 'buy';port=8443}
13.     [pscustomobject]@{subDomain = 'go';port=7443}
14. )
15. $certRootStore = "localmachine"
16. $certStore = "My"
17. # 创建证书存储
18. $store = new-object System.Security.Cryptography.X509Certificates.X509Store($certStore, $certRootStore)
19. $store.open("MaxAllowed")
21. # 开始循环数组操作
22. foreach ($element in $data) {
23.     $pfxPath = "$($pfxCommandDir)\$($element.subDomain).$($domain).pfx"
24.     Write-Host $pfxPath
25.     # 创建pfx对象
26.     try {
27.         $certificateObject = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($pfxPath, $pfxpassword)
28.         # 存储证书到个人
29.         $store.Add($certificateObject)
30.         Write-Host 导入证书成功
31.         $newThumbprint = $certificateObject.Thumbprint
32.         Write-Host 获取证书信息成功
33.         $guid = New-Guid
34.         $applicationID = "{$($guid)}"
35.         $addr = "0.0.0.0:$($element.port)"
36.         Write-Host $addr $newThumbprint
37.         netsh http delete sslcert ipport=$addr
38.         netsh http add sslcert ipport=$addr certhash=$newThumbprint appid=$applicationID
39.     }
40.     catch {
41.         Write-Host "发生异常：$_"
42.         break
43.     }
44. }
45. # 关闭证书存储
46. $store.close()
48. # 执行完后退出
49. exit

复制代码

创建任务计划程序参考

将启动程序设置为autoacme.bat即可，设置完成后，右键对应任务计划程序->属性->操作，在这一对话框中，将reissueIISCert.ps1加入到队列中。在常规页面中，勾选“不管用户是否登录都要运行”以及“使用最高权限”，保存即可
任务计划程序是按照顺序执行的。

来源:https://www.cnblogs.com/NickSmith/p/18270573
免责声明：由于采集信息均来自互联网，如果侵犯了您的权益，请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容，谢谢合作！