使用 acme.sh 配置自动续签 SSL 证书

Author：颜家小小
发布时间：April 12, 2022
3441 views
No comments
6301 words
Categories： VPS文档

acme.sh 是一个通过 ACME 协议从 Let’s Encrypt 和 ZeroSSL 等 CA 机构申请免费的证书的 Linux 脚本

本文将介绍使用 acme.sh 配置自动续签的 SSL 证书。基本上大多数商业 SSL 证书都需要手工申请和签发，能支持 ACME 自动签发的并不多，有也略贵，比如 ZeroSSL 高级版和 Digicert 等，那么对于大多数懒人来说，免费的 Let's Encrypt 、 Buypass 和 ZeroSSL 免费版就是不错的选择。

自动签发和手工签发证书的对比

功能	自动签发	手工签发
有效期	3个月至6个月	30天到1年
难度	不容易	容易
友好度	不友好	友好
适合懒人	是	否
系统集成	方便	不方便
后台管理	大多数没有	大多数都有

所以我们建议如果您对服务器有完全控制权，那么自动签发的证书比较适合懒人运维，如果是长期运营的网站和项目，手工签发的证书对新手更友好，请自行选择。

安装 acme.sh

acme.sh 是一个集成了 ACME 客户端协议的 Bash 脚本，作者是 @neilpangxa，按照官方文档说明，我们直接在 Linux 下安装。

curl https://get.acme.sh | sh -s email=username@example.com

如果是国内的机器，可以使用拖回源码直接安装：

git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m username@example.com

请注意替换 username@example.com 为你自己的邮箱，避免无法收到上游证书的邮件通知，比如 Let's Encrypt 偶尔会错发证书，然后就会邮件通知你，这时候就需要重新签发一次证书了。

安装完成后重新加载 Bash：

source ~/.bashrc

然后也可以开启自动更新：

acme.sh --upgrade --auto-upgrade

选择默认 CA

目前 acme.sh 支持四个正式环境 CA，分别是 Let's Encrypt、Buypass、ZeroSSL 和 SSL.com，默认使用 ZeroSSL，如果需要更换可以使用如下命令：

切换 Let's Encrypt

acme.sh --set-default-ca --server letsencrypt

切换 Buypass

acme.sh --set-default-ca --server buypass

切换 ZeroSSL

acme.sh --set-default-ca --server zerossl

切换 SSL.com

acme.sh --set-default-ca --server ssl.com

切换 Google Public CA

acme.sh --set-default-ca --server google

如果已有 ZeroSSL 帐号，可以在后台控制面板拿到 API Key，然后执行如下命令

apt install jq
curl -s -X POST "https://api.zerossl.com/acme/eab-credentials?access_key=你的API_Key" | jq

终端会输出如下内容

{
  "success": true,
  "eab_kid": "kid字符串",
  "eab_hmac_key": "hmac_key字符串",
}

然后手工添加帐号

acme.sh --register-account  --server zerossl \
        --eab-kid kid字符串  \
        --eab-hmac-key hmac_key字符串

Google Public CA 需要按照官方博客申请内测，然后获取 Key。

几个 CA 的简单对比

功能	LE	Buypass	ZeroSSL	SSL.com	Google Public CA
有效期	90 天	180 天	90 天	90 天	90 天
多域名	支持	支持，最多 5 个	支持	收费支持	支持
泛域名	支持	不支持	支持	收费支持	支持
Rate Limit	有	有	收费无	未知	有
GUI 管理	否	否	有	有	无
ECC 证书链	否	否	有	未知	无
客户支持	社区	收费	收费	收费	收费

使用 HTTP 验证签发证书

首先我们要做一下准备工作，假设你域名是 example.com，解析到你的服务器让其生效后，我们建立一个目录：

mkdir -p /var/www/letsencrypt

我们的目的是绑定 http://example.com/.well-known/acme-challenge 到这个目录。

如果您用的 Nginx，那么新建一个配置文件：

server {
    listen 80;
    listen [::]:80;
    server_name example.com;

    location /.well-known/acme-challenge {
        root /var/www/letsencrypt;
    }

    location / {
        rewrite    ^/(.*)$ https://$host/$1 permanent;
    }
}

如果您使用的 Apache，那么新建一个配置文件：

<VirtualHost *:80>
    ServerName example.com
    DocumentRoot /var/www/letsencrypt
    RewriteEngine On
    RewriteCond %{REQUEST_URI} !^/\.well\-known/acme\-challenge/
    RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>

我们以 Let's Encrypt 为例，直接在终端运行

acme.sh --issue -d example.com -w /var/www/letsencrypt

如果希望签发 ECC 证书，则运行

acme.sh --issue -d example.com --keylength ec-256 -w /var/www/letsencrypt

如果需要多个域名，则运行

acme.sh --issue -d example.com -d example.org -w /var/www/letsencrypt

然后就等他执行完，直到出现 Cert success 的提示

然后我们可以安装证书

Nginx

acme.sh --install-cert -d example.com \
--key-file       /etc/nginx/ssl/example.com.key  \
--fullchain-file /etc/nginx/ssl/example.com.crt \
--ca-file        /etc/nginx/ssl/example.com.ca.crt \
--reloadcmd     "systemctl restart nginx"

对应的 Nginx 配置指定证书文件

ssl_certificate /etc/nginx/ssl/example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;
ssl_trusted_certificate /etc/nginx/ssl/example.com.ca.crt;

Apache

acme.sh --install-cert -d example.com \
--key-file       /etc/apache2/ssl/example.com.key  \
--fullchain-file /etc/apache2/ssl/example.com.crt \
--ca-file        /etc/apache2/ssl/example.com.ca.crt \
--reloadcmd     "curl https://ssl-config.mozilla.org/ffdhe2048.txt >> /etc/apache2/ssl/example.com.crt && systemctl resta

对应的 Apache 配置指定证书文件

SSLCertificateFile      /etc/apache2/ssl/example.com.crt
SSLCertificateKeyFile   /etc/apache2/ssl/example.com.key

如果是 ECC 证书，则安装的时候需要带上 --ecc 参数，比如

acme.sh --install-cert --ecc -d example.com \
--key-file       /etc/nginx/ssl/example.com.key  \
--fullchain-file /etc/nginx/ssl/example.com.crt \
--ca-file        /etc/nginx/ssl/example.com.ca.crt \
--reloadcmd     "systemctl restart nginx"

注意如果是多个域名，也仅需要在 -d 参数后面指定第一个域名即可。

使用 DNS 验证签发证书

有时候因为不想暴露一些二级域名，或者希望在多台机器上部署同一个域名的证书，这时候就需要用到 DNS 插件了，acme.sh 支持几十种 DNS 插件。

这里以 Cloudflare 为例，登录 Cloudflare Dash 后在 API Token 菜单里添加一个 API Token：

然后选择 Edit Zone DNS 的模板

选择你要编辑的域名，也可以加入你服务器的 IP 作为白名单

完成后会给你一串字符，把他复制下来，需要填入下方的 CF_Token 参数

然后进入域名的管理页面，在右侧 API 列找到 Account ID 和 Zone ID 并复制

接着在终端运行

export CF_Token="复制下来的 Token"
export CF_Account_ID="复制下来的 Account ID"
export CF_Zone_ID="复制下来的 Zone ID"

然后开启 acme.sh 的 DNS API 模式申请证书

acme.sh --issue --dns dns_cf -d example.com -d *.example.com

安装证书方法同上，另外吐槽下，很多教程会让你用 Cloudflare 的全局 Global API Key，真的是风险太大了，最后怎么被黑的都不知道。

如果不想使用第三方的 DNS 服务完全可以自建 acme-dns 或者 PowerDNS，篇幅有限，我们之后再介绍。

Last modification：May 17, 2022

如果觉得我的文章对你有用，请随意赞赏

使用 acme.sh 配置自动续签 SSL 证书

颜家小小 • 2022 年 04 月 12 日

<h3>acme.sh 是一个通过 ACME 协议从 Let’s Encrypt 和 ZeroSSL 等 CA 机构申请免费的证书的 Linux 脚本</h3><p>本文将介绍使用 <code>acme.sh</code> 配置自动续签的 <code>SSL</code> 证书。基本上大多数商业 <code>SSL</code> 证书都需要手工申请和签发，能支持 <code>ACME</code> 自动签发的并不多，有也略贵，比如 <code>ZeroSSL</code> 高级版 和 <code>Digicert</code> 等，那么对于大多数懒人来说，免费的 <code>Let's Encrypt</code> 、 <code>Buypass</code> 和 <code>ZeroSSL</code> 免费版就是不错的选择。</p><h4>自动签发和手工签发证书的对比</h4><table><thead><tr><th>功能</th><th>自动签发</th><th>手工签发</th></tr></thead><tbody><tr><td>有效期</td><td>3个月至6个月</td><td>30天到1年</td></tr><tr><td>难度</td><td>不容易</td><td>容易</td></tr><tr><td>友好度</td><td>不友好</td><td>友好</td></tr><tr><td>适合懒人</td><td>是</td><td>否</td></tr><tr><td>系统集成</td><td>方便</td><td>不方便</td></tr><tr><td>后台管理</td><td>大多数没有</td><td>大多数都有</td></tr></tbody></table><p>所以我们建议如果您对服务器有完全控制权，那么自动签发的证书比较适合懒人运维，如果是长期运营的网站和项目，手工签发的证书对新手更友好，请自行选择。</p><h4>安装 acme.sh</h4><p><code>acme.sh</code> 是一个集成了 <code>ACME</code> 客户端协议的 <code>Bash</code> 脚本，作者是 <code>@neilpangxa</code>，按照官方文档说明，我们直接在 <code>Linux</code> 下安装。</p><pre><code>curl https://get.acme.sh | sh -s email=username@example.com
</code></pre><p>如果是国内的机器，可以使用拖回源码直接安装：</p><pre><code>git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m username@example.com
</code></pre><p>请注意替换 <code>username@example.com</code> 为你自己的邮箱，避免无法收到上游证书的邮件通知，比如 <code>Let's Encrypt</code> 偶尔会错发证书，然后就会邮件通知你，这时候就需要重新签发一次证书了。</p><p>安装完成后重新加载 Bash：</p><pre><code>source ~/.bashrc
</code></pre><p>然后也可以开启自动更新：</p><pre><code>acme.sh --upgrade --auto-upgrade
</code></pre><h4>选择默认 CA</h4><p>目前 <code>acme.sh</code> 支持四个正式环境 <code>CA</code>，分别是 <code>Let's Encrypt</code>、<code>Buypass</code>、<code>ZeroSSL</code> 和 <code>SSL.com</code>，默认使用 <code>ZeroSSL</code>，如果需要更换可以使用如下命令：</p><p>切换 Let's Encrypt</p><pre><code>acme.sh --set-default-ca --server letsencrypt
</code></pre><p>切换 Buypass</p><pre><code>acme.sh --set-default-ca --server buypass
</code></pre><p>切换 ZeroSSL</p><pre><code>acme.sh --set-default-ca --server zerossl
</code></pre><p>切换 SSL.com</p><pre><code>acme.sh --set-default-ca --server ssl.com
</code></pre><p>切换 Google Public CA</p><pre><code>acme.sh --set-default-ca --server google
</code></pre><p>如果已有 <code>ZeroSSL</code> 帐号，可以在后台控制面板拿到 <code>API Key</code>，然后执行如下命令</p><pre><code>apt install jq
curl -s -X POST &quot;https://api.zerossl.com/acme/eab-credentials?access_key=你的API_Key&quot; | jq
</code></pre><p>终端会输出如下内容</p><pre><code>{
  &quot;success&quot;: true,
  &quot;eab_kid&quot;: &quot;kid字符串&quot;,
  &quot;eab_hmac_key&quot;: &quot;hmac_key字符串&quot;,
}
</code></pre><p>然后手工添加帐号</p><pre><code>acme.sh --register-account  --server zerossl \
        --eab-kid kid字符串  \
        --eab-hmac-key hmac_key字符串
</code></pre><p><code>Google Public CA</code> 需要按照<span class="external-link"><a class="no-external-link" href="https://cloud.google.com/blog/products/identity-security/automate-public-certificate-lifecycle-management-via--acme-client-api" target="_blank"><i data-feather="external-link"></i>官方博客</a></span>申请内测，然后获取 <code>Key</code>。</p><p>几个 CA 的简单对比</p><table><thead><tr><th>功能</th><th>LE</th><th>Buypass</th><th>ZeroSSL</th><th>SSL.com</th><th>Google Public CA</th></tr></thead><tbody><tr><td>有效期</td><td>90 天</td><td>180 天</td><td>90 天</td><td>90 天</td><td>90 天</td></tr><tr><td>多域名</td><td>支持</td><td>支持，最多 5 个</td><td>支持</td><td>收费支持</td><td>支持</td></tr><tr><td>泛域名</td><td>支持</td><td>不支持</td><td>支持</td><td>收费支持</td><td>支持</td></tr><tr><td>Rate Limit</td><td>有</td><td>有</td><td>收费无</td><td>未知</td><td>有</td></tr><tr><td>GUI 管理</td><td>否</td><td>否</td><td>有</td><td>有</td><td>无</td></tr><tr><td>ECC 证书链</td><td>否</td><td>否</td><td>有</td><td>未知</td><td>无</td></tr><tr><td>客户支持</td><td>社区</td><td>收费</td><td>收费</td><td>收费</td><td>收费</td></tr></tbody></table><h4>使用 HTTP 验证签发证书</h4><p>首先我们要做一下准备工作，假设你域名是 <code>example.com</code>，解析到你的服务器让其生效后，我们建立一个目录：</p><pre><code>mkdir -p /var/www/letsencrypt
</code></pre><p>我们的目的是绑定 <code>http://example.com/.well-known/acme-challenge</code> 到这个目录。</p><p>如果您用的 <code>Nginx</code>，那么新建一个配置文件：</p><pre><code>server {
    listen 80;
    listen [::]:80;
    server_name example.com;

location /.well-known/acme-challenge {
        root /var/www/letsencrypt;
    }

location / {
        rewrite    ^/(.*)$ https://$host/$1 permanent;
    }
}
</code></pre><p>如果您使用的 <code>Apache</code>，那么新建一个配置文件：</p><pre><code>&lt;VirtualHost *:80&gt;
    ServerName example.com
    DocumentRoot /var/www/letsencrypt
    RewriteEngine On
    RewriteCond %{REQUEST_URI} !^/\.well\-known/acme\-challenge/
    RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
&lt;/VirtualHost&gt;

</code></pre><p>我们以 <code>Let's Encrypt</code> 为例，直接在终端运行</p><pre><code>acme.sh --issue -d example.com -w /var/www/letsencrypt
</code></pre><p>如果希望签发 <code>ECC</code> 证书，则运行</p><pre><code>acme.sh --issue -d example.com --keylength ec-256 -w /var/www/letsencrypt
</code></pre><p>如果需要多个域名，则运行</p><pre><code>acme.sh --issue -d example.com -d example.org -w /var/www/letsencrypt
</code></pre><p>然后就等他执行完，直到出现 <code>Cert success</code> 的提示<br><img src="https://www.idcfq.com/usr/uploads/2022/04/2108132718.png" alt="acme_1.png" title="acme_1.png"style=""></p><p>然后我们可以安装证书</p><p>Nginx</p><pre><code>acme.sh --install-cert -d example.com \
--key-file       /etc/nginx/ssl/example.com.key  \
--fullchain-file /etc/nginx/ssl/example.com.crt \
--ca-file        /etc/nginx/ssl/example.com.ca.crt \
--reloadcmd     &quot;systemctl restart nginx&quot;
</code></pre><p>对应的 Nginx 配置指定证书文件</p><pre><code>ssl_certificate /etc/nginx/ssl/example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;
ssl_trusted_certificate /etc/nginx/ssl/example.com.ca.crt;
</code></pre><p>Apache</p><pre><code>acme.sh --install-cert -d example.com \
--key-file       /etc/apache2/ssl/example.com.key  \
--fullchain-file /etc/apache2/ssl/example.com.crt \
--ca-file        /etc/apache2/ssl/example.com.ca.crt \
--reloadcmd     &quot;curl https://ssl-config.mozilla.org/ffdhe2048.txt &gt;&gt; /etc/apache2/ssl/example.com.crt &amp;&amp; systemctl resta
</code></pre><p>对应的 Apache 配置指定证书文件</p><pre><code>SSLCertificateFile      /etc/apache2/ssl/example.com.crt
SSLCertificateKeyFile   /etc/apache2/ssl/example.com.key

</code></pre><p>如果是 <code>ECC</code> 证书，则安装的时候需要带上 <code>--ecc</code> 参数，比如</p><pre><code>acme.sh --install-cert --ecc -d example.com \
--key-file       /etc/nginx/ssl/example.com.key  \
--fullchain-file /etc/nginx/ssl/example.com.crt \
--ca-file        /etc/nginx/ssl/example.com.ca.crt \
--reloadcmd     &quot;systemctl restart nginx&quot;
</code></pre><p>注意如果是多个域名，也仅需要在 <code>-d</code> 参数后面指定第一个域名即可。</p><h4>使用 DNS 验证签发证书</h4><p>有时候因为不想暴露一些二级域名，或者希望在多台机器上部署同一个域名的证书，这时候就需要用到 <code>DNS</code> 插件了，<code>acme.sh</code> 支持几十种 <code>DNS</code> 插件。</p><p>这里以 <code>Cloudflare</code> 为例，登录 <code>Cloudflare Dash</code> 后在 <code>API Token</code> 菜单里添加一个 <code>API Token</code>：<br><img src="https://www.idcfq.com/usr/uploads/2022/04/2668419162.png" alt="acme_2.png" title="acme_2.png"style=""></p><p>然后选择 <code>Edit Zone DNS</code> 的模板<br><img src="https://www.idcfq.com/usr/uploads/2022/04/311271259.png" alt="acme_3.png" title="acme_3.png"style=""></p><p>选择你要编辑的域名，也可以加入你服务器的 <code>IP</code> 作为白名单<br><img src="https://www.idcfq.com/usr/uploads/2022/04/3869109277.png" alt="acme_4.png" title="acme_4.png"style=""></p><p>完成后会给你一串字符，把他复制下来，需要填入下方的 <code>CF_Token</code> 参数<br><img src="https://www.idcfq.com/usr/uploads/2022/04/2629439960.png" alt="acme_5.png" title="acme_5.png"style=""></p><p>然后进入域名的管理页面，在右侧 API 列找到 <code>Account ID</code> 和 <code>Zone ID</code> 并复制<br><img src="https://www.idcfq.com/usr/uploads/2022/04/2687489207.png" alt="acme_6.png" title="acme_6.png"style=""></p><p>接着在终端运行</p><pre><code>export CF_Token=&quot;复制下来的 Token&quot;
export CF_Account_ID=&quot;复制下来的 Account ID&quot;
export CF_Zone_ID=&quot;复制下来的 Zone ID&quot;
</code></pre><p>然后开启 <code>acme.sh</code> 的 <code>DNS API</code> 模式申请证书</p><pre><code>acme.sh --issue --dns dns_cf -d example.com -d *.example.com
</code></pre><p>安装证书方法同上，另外吐槽下，很多教程会让你用 <code>Cloudflare</code> 的全局 <code>Global API Key</code>，真的是风险太大了，最后怎么被黑的都不知道。</p><p>如果不想使用第三方的 <code>DNS</code> 服务完全可以自建 <code>acme-dns</code> 或者 <code>PowerDNS</code>，篇幅有限，我们之后再介绍。</p>

使用 acme.sh 配置自动续签 SSL 证书

acme.sh 是一个通过 ACME 协议从 Let’s Encrypt 和 ZeroSSL 等 CA 机构申请免费的证书的 Linux 脚本

自动签发和手工签发证书的对比

安装 acme.sh

选择默认 CA

使用 HTTP 验证签发证书

使用 DNS 验证签发证书

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

在Wgcf-WARP/WARP-Cli代理模式启用WARP+账户，附刷WARP+流量教程

Vertex安装教程

Cloudflare WARP 一键配置脚本使用教程

新版可续签的Office 365开发者试用订阅！E5(附自动续订的方法)

免费VPS EUserv快速部署v2ray

此内容被密码保护

群晖NAS通过Docker创建CentOS 7

Linux服务器常用脚本

【合集】常用VPS脚本

ikoula10欧安装win10

使用 acme.sh 配置自动续签 SSL 证书

acme.sh 是一个通过 ACME 协议从 Let’s Encrypt 和 ZeroSSL 等 CA 机构申请免费的证书的 Linux 脚本

自动签发和手工签发证书的对比

安装 acme.sh

选择默认 CA

使用 HTTP 验证签发证书

使用 DNS 验证签发证书

Leave a Comment Cancel reply 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

使用 acme.sh 配置自动续签 SSL 证书

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款