文章

acme.sh 备忘录

这是一个备忘录,起速查表的作用。没有什么技术含量。

acme.sh 是一个开源的纯 shell 脚本编写的 acme 客户端,可自动申请更新 https 证书。相比其他工具,acme.sh 更轻量,主要表现在:

  1. 只是一个脚本,无需编译安装。
  2. 无侵入性,不会更改任何 web server 的配置。

修改 CA

acme.sh 默认 CA 是 ZeroSSL,可是在申请证书时添加 --server 参数临时修改。

修改默认 CA 执行(修改为 let's encrypt):

acme.sh --set-default-ca --server letsencrypt

支持的 CA 列表

申请证书

已有 web server

acme.sh --issue -d example.com -w /www/wwwroot/example.com
  1. -w 后为 vhost public 根目录。
  2. 如需一个证书包含多个域名可传递多个 -d 参数。

默认申请的证书保存在 ~/.acme.sh/example.com/但不要直接用于部署,这个目录的结果可能会随时改变。

DNS Alias

reference

若希望自动化通过 DNS 来验证(根域名必须使用 DNA 验证),但 DNS 服务商没有提供 API 该咋办呢?如果我们恰好还有一个域名,它的 DNS 服务商恰好支持 API,那就好办了。

假设要为 example.com 申请证书,proxy.com 是我们拥有的另一个域名,支持 API 设置 DNS。

  1. 添加 _acme-challenge.example.com 的 CNAME 记录,指向 _acme-challenge.proxy.com

  2. 设置 proxy.com 的 DNS API 密钥

  3. 使用 alias mode 验证。

    acme.sh --issue  \
      -d  example.com --challenge-alias proxy.com --dns {your dns provider}
    

上面的方法要求代理域名的主机名也必须是 _acme-challenge,当然也可以自定义这个名称。

假设现在我们设置 _acme-challenge.example.com -> custom.proxy.com,那么申请证书时使用 --domain-alias 参数就行了:

acme.sh --issue  \
  -d  example.com --domain-alias custom.proxy.com --dns {your dns provider}
  • --challenge-alias:只需指定域名,主机名默认为 _acme-challenge
  • --domain-alias:需要指定 FQDN(主机名+域名),可以自定义主机名。

部署证书

Nginx:

acme.sh --install-cert -d example.com \
  --key-file       /path/to/keyfile/in/nginx/key.pem  \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd     "service nginx force-reload"
  1. acme.sh 不会修改 nginx 配置,所以需要自己设置好。
  2. 部署时将保留现有目标文件的权限。所以如果有需求,先手动部署一般设置好权限。
  3. --reloadcmd 用于部署完成后刷新 web server。

其他命令

更多命令帮助执行 acme.sh --help 查看。

手动续期

acme.sh --renew -d example.com --force [--ecc]

不再续期

acme.sh --remove -d example.com [--ecc]

此命令不会删除证书文件

查看活跃的证书列表

acme.sh --list