使用 acme.sh 签发和自动续期 ssl https 证书

catoop2024-12-17 11:50

acme.sh 是一个热度非常高的签发和自动续期 https 证书的工具,虽然官网上提供了充分的操作说明,但是不够简洁,本文以在 nginx 中签发和配置http 为例,列出必要的几个简单步骤。

安装

因为网络原因,github 大部分人是不能直接访问的,所以官网的一键安装脚本可能并不好用。推荐自己手工将代码下载下来操作。

1、下载 git 代码

https://github.com/acmesh-official/acme.sh

下载代码》解压缩,文件清单如下:

bash 复制代码 
[root@test acme.sh-master]# ll
total 308
-rwxrwxrwx 1 root root 226257 Dec 11 04:00 acme.sh
drwxrwxrwx 2 root root   4096 Dec 11 04:00 deploy
drwxrwxrwx 2 root root   8192 Dec 11 04:00 dnsapi
-rw-rw-rw- 1 root root   1528 Dec 11 04:00 Dockerfile
-rw-rw-rw- 1 root root  35149 Dec 11 04:00 LICENSE.md
drwxrwxrwx 2 root root   4096 Dec 11 04:00 notify
-rw-rw-rw- 1 root root  22455 Dec 11 04:00 README.md

2、安装acme.sh

指定自己的 Email,安装命令如下:

java 复制代码 
chmod +x acme.sh
./acme.sh --install -m 365384722@qq.com

按官方说明,安装命令实际上执行了如下3步操作:

  • 创建 acme.sh 并将其复制到当前用户主目录($HOME):~/.acme.sh/ 中,以后签发的所有证书和配置也将放置在此文件夹中。
  • 创建命令别名:acme.sh=~/.acme.sh/acme.sh,此后在任何位置都可以直接使用 acme.sh 命令。
  • 创建每日cron作业,以便在需要时检查和续订证书,可以使用 crontab -l 查看自动配置的作业内容,你也可以使用 crontab -e 自定义时间。

cron 内容如下所示:

bash 复制代码 
24 5 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

安装后,如果想让 acme.sh 别名生效,你可能需要关闭当前ssh会话并重新打开它。

3、启用acme的自动升级

bash 复制代码 
acme.sh --upgrade --auto-upgrade

配置自动升级后,查看 ~/.acme.sh/account.conf 可以看到 AUTO_UPGRADE='1'

签发证书

官网签发证书的方式主要分为3种:

  • 基于 webroot 的方式
  • 手工 TXT 域名解析的方式
  • 自动 API 的方式

如果你希望以后都能自动续期而不需要人工介入,那么你必须选择基于 API 的方式,前两者本文不赘述,详见官网说明。

acme 支持了很多域名服务商,使用参数 --dns 指定,如下基于阿里云自动的方式进行示例:

1、登录阿里云控制台,记录下 AKIDAKSCT

2、执行两条 export 命令设置临时变量

bash 复制代码 
export Ali_Key="<AKID>"
export Ali_Secret="<AKSCT>"

3、执行签发命令,使用 --dns dns_ali 明确阿里云API通道

bash 复制代码 
./acme.sh --issue --dns dns_ali -d *.demo.com -d demo.com

签发成功后,你可以查看配置文件 ~/.acme.sh/account.conf,会发现该配置文件记录了我们 export 的两个值,之所以记录下来是为了后续自动续签使用。

安装证书到Nginx

如下脚本以 nginx 为例,脚本中设置证书的目标位置、证书更新后需要执行什么命令来刷新 nginx 服务使之生效。

bash 复制代码 
acme.sh --install-cert -d goodcol.com \
--key-file       /opt/soft/nginx/ssl/goodcol.com/key.pem  \
--fullchain-file /opt/soft/nginx/ssl/goodcol.com/cert.pem \
--reloadcmd     "docker exec -it nginx-forward nginx -s reload"

因为我的 nginx 是基于docker 的,所有我的 reloadCmd 是对docker 里面的 nginx 进行 reload,其中证书文件是我 nginx 容器挂在宿主机文件的位置。

其他更多内容,详见官方文档

(END)

相关推荐
小时前端7 小时前
HTTPS 页面加载 HTTP 脚本被拦?同源代理来救场
前端·https
赤月奇5 天前
https改为http
数据挖掘·https·ssl
k7Cx7e6 天前
宝塔域名强制SSL和带www的方法
网络·网络协议·ssl
qq_316837756 天前
使用 certbot docker镜像生成阿里云域名ssl证书
阿里云·docker·ssl
文静小土豆6 天前
CentOS 7 升级 OpenSSL 3.5.4 详细指南
linux·运维·centos·ssl
biubiubiu07066 天前
Certbot 申请SSL证书的三种方式详解(Ubuntu 22.04环境)
网络·网络协议·ssl
宇宙核7 天前
FreeSSL实现域名证书免费无限自动续签续期流程
linux·服务器·ssl·持续部署
Boxsc_midnight7 天前
【windows电脑浏览器直接访问虚拟机或云端openclaw的方法】一个不需要HTTPS的安全连接通道(基于SSH)
windows·安全·https·openclaw
风早爽太8 天前
使用 CocoaPods 出现 SSL 证书验证失败错误的临时解决方案
ssl·cocoapods
学不完的8 天前
haproxy
linux·运维·https·负载均衡·haproxy
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤06OpenClaw优化飞书API 额度已耗尽问题07【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆08小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)09Window 10部署openclaw报错node.exe : npm error code 12810OpenClaw大龙虾机器人完整安装教程