Date: 2025-06-21
补充说明:acme.sh的邮件里说明了从2025-06-04开始,免费的续订邮件通知服务结束了,以后需要自己配置通知了。
本文的目的:详细解读acme.sh这个开源脚本的内容和用法,并给出一套较优的实践方案,特别适合于没有做DNS轮询、nginx反向代理高可用集群的多服务器多应用的场景。
链接:
参考链接:
技术路线和路径规划:
使用acme.sh工具,从Let's Encrypt这个CA机构获取免费证书
- 规划脚本存放位置:/data/linux/software/acme.sh
- 规划acme.sh脚本的数据存放位置【权限确保是600】:/data/linux/files/acme_data
- 规划证书和私钥的存放位置:/data/linux/files/tls_certs
1. acme.sh安装配置和使用
acme.sh安装和配置流程:
## 下载acme.sh
cd /data/linux/files/download
git clone --depth 1 https://github.com/acmesh-official/acme.sh.git
## 安装acme.sh,邮箱改成需要通知到的邮箱
cd acme.sh
./acme.sh --install \
--home /data/linux/software/acme.sh \
--config-home /data/linux/files/acme_data \
--accountemail "my@example.com"
## 参数说明:--home 是安装软件的目录
# --config-home 是存储acme.sh的数据(包括cert/keys, configs)
# --cert-home 是保存证书的目录,默认是--config-home的位置
# --accountkey 是保存私钥文件的目录,默认是--config-home的位置
# --accountemail 是登记在Let's Encrypt中的email,会收到续订证书通知邮件,留空就默认取值CA_EMAIL的值
# --nocron 表示安装不带修改crontab
## 装完之后source一下环境变量
source ~/.bashrc
## 切换CA机构为letsencrypt
acme.sh --set-default-ca --server letsencrypt
安装会做3个动作:
复制软件到目录,创建配置到目录
将acme.sh的环境变量写入 ~/.bashrc
## 示例执行内容:
export LE_WORKING_DIR="/data/linux/software/acme.sh"
export LE_CONFIG_HOME="/data/linux/files/acme_data"
alias acme.sh="/data/linux/software/acme.sh/acme.sh --config-home '/data/linux/files/acme_data'"
将每日任务写入cron
示例内容:
27 11 * * * "/data/linux/software/acme.sh"/acme.sh --cron --home "/data/linux/software/acme.sh" --config-home "/data/linux/files/acme_data" > /dev/null
2. acme.sh验证域名并颁发证书
acme.sh验证域名所有权并颁发证书的方式:
申请ECC证书:
acme.sh默认申请的都是RSA证书,现代化的ECC证书体积更小、更安全、性能更强,申请ECC证书就是在以上所有办法中添加参数 -k ec-256
(如果考虑兼容很旧的设备,则同时申请ECC和RSA证书,同时配置在nginx中)
为了更灵活也不影响webroot的内容:
可以在nginx.conf中添加如下内容以单独为acme-challange设置路径:
## acme-challenge
server {
listen 80;
listen [::]:80;
server_name piwind.com *.piwind.com;
location /.well-known/acme-challenge {
root /usr/share/nginx/acme-challenge;
}
# 其他非挑战请求强制跳转到HTTPS
location / {
return 301 https://$host$request_uri;
}
}
操作:webroot验证
在nginx.conf中写了指定路径的网页根目录为/usr/share/nginx/acme-challenge,申请证书:
acme.sh --issue -d us01.piwind.com --webroot /usr/share/nginx/acme-challenge -k ec-256
操作:使用DNS provider的API验证
域名是托管在cloudflare上,因此先访问cloudflare的API Tokens页面:https://dash.cloudflare.com/profile/api-tokens
创建API Token,选择模板"Edit zone DNS",Zone Resources选择需要申请证书的域名,可以限制客户端ip以达到最安全的目的,单区域提供token放在环境变量CF_Token,域名的zone ID放在环境变量CF_Zone_ID
也可以Zone Resources包括所有域名,用一个token操作所有域名的验证,多区域提供oken放在环境变量CF_Token,账号的account ID放在环境变量CF_Account_ID(进入任意域名的Overview,右侧面板上有)
## 本次用多区域的方式比较方便,在命令前添加空格以避免这条命令被history记录
export HISTCONTROL=ignorespace
export CF_Token="xxxxxx"
export CF_Account_ID="xxxxxx"
acme.sh --issue -d piwind.com -d '*.piwind.com' --dns dns_cf -k ec-256
操作成功后退出会话即可清空环境变量
3. 将证书安装到Apache/Nginx
Apache example:
acme.sh --install-cert -d example.com \
--cert-file /path/to/certfile/in/apache/cert.pem \
--key-file /path/to/keyfile/in/apache/key.pem \
--fullchain-file /path/to/fullchain/certfile/apache/fullchain.pem \
--reloadcmd "service apache2 force-reload"
Nginx example:
acme.sh --install-cert -d example.com \
--key-file /path/to/keyfile/in/nginx/key.pem \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd "service nginx force-reload"
安装的作用是将web服务器所需的文件从数据目录选出来复制到指定路径,并将reload命令写到acme.sh的数据目录中,以便于续订证书的时候执行并在服务器中生效。
证书和私钥内容写入,会保留原先所在位置文件的权限(acme.sh生成的证书默认644,私钥600),因此方便配置权限。
操作:将证书安装到nginx
## 要先创建目录
mkdir -p /data/linux/files/tls_certs
## 安装ecc证书到nginx
acme.sh --install-cert -d us01.piwind.com --ecc \
--key-file /data/linux/files/tls_certs/us01.piwind.com.key \
--fullchain-file /data/linux/files/tls_certs/us01.piwind.com.fullchain.cer \
--reloadcmd "systemctl force-reload nginx"
# 泛域名证书只要写main_domain
acme.sh --install-cert -d piwind.com --ecc \
--key-file /data/linux/files/tls_certs/piwind.com.key \
--fullchain-file /data/linux/files/tls_certs/piwind.com.fullchain.cer \
--reloadcmd "systemctl force-reload nginx"
之后就可以在nginx的配置文件中引用证书和私钥文件了,比如创建文件 /etc/nginx/conf.d/us01.piwind.com.conf,内容如下:
server {
listen 443 ssl;
listen [::]:443 ssl;
http2 on;
server_name us01.piwind.com;
ssl_certificate /data/linux/files/tls_certs/piwind.com.fullchain.cer;
ssl_certificate_key /data/linux/files/tls_certs/piwind.com.key;
location / {
root /usr/share/nginx/html;
proxy_set_header Host $server_name;
}
}
然后重新加载nginx:
nginx -t
nginx -s reload
4. 服务器SSL在线检测
链接:
参考结果:
acme.sh常用操作
## 列出证书信息
acme.sh --list
## 移除证书并手动删除文件
acme.sh --remove -d us02.piwind.com
rm -rf /data/linux/files/acme_data/us02.piwind.com_ecc
rm -rf /data/linux/files/tls_certs/us02.piwind.com.*
方便操作:申请单域名证书
## 要先创建目录
mkdir -p /data/linux/files/tls_certs
export SINGLE_DOMAIN=us02.piwind.com
acme.sh --issue -d ${SINGLE_DOMAIN} --webroot /usr/share/nginx/acme-challenge -k ec-256
acme.sh --install-cert -d ${SINGLE_DOMAIN} --ecc \
--key-file /data/linux/files/tls_certs/${SINGLE_DOMAIN}.key \
--fullchain-file /data/linux/files/tls_certs/${SINGLE_DOMAIN}.fullchain.cer \
--reloadcmd "systemctl force-reload nginx"
将泛域名证书同步给其他服务器
参考链接:
在需要证书的服务器上编写同步脚本(修改配置区中的域名就够了):
参考链接和阅读记录
链接:
来自deepseek-R1的回答:
