acme.sh管理 SSL/TLS 证书

已于 2025-05-06 21:47:56 修改
阅读量1.3k 收藏 30
点赞数 17
分类专栏: 笔记 Linux 运维基础和网络安全 文章标签: ssl 网络协议 网络
于 2025-04-01 18:30:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rufeike/article/details/146913719
版权

文章目录

acme.sh管理 SSL/TLS 证书

acme.sh 是一个基于 ACME 协议的轻量级工具,用于自动化申请、续签和管理 SSL/TLS 证书(如 Let’s Encrypt 证书)。它使用 Shell 脚本编写,依赖简单,支持多种 DNS 服务和 Web 服务器

操作流程

安装 acme.sh

curl https://get.acme.sh | sh -s email=your_email@example.com

自动安装到 ~/.acme.sh/,并添加定时任务(通过 crontab -l 查看)。

建议使用真实邮箱,用于证书到期提醒。
在这里插入图片描述

签发证书

方式一:HTTP 验证(签发前,请确保域名解析已到服务器

acme.sh --issue -d example.com -d www.example.com -w /var/www/html
# 或
acme.sh --issue -d example.com -d www.example.com --webroot /var/www/html

-w: 指定网站根目录,工具会在目录下创建 .well-known/acme-challenge/ 临时文件验证所有权。

方式二:DNS 验证(无需服务器,适合通配符证书)

acme.sh --issue --dns dns_cf -d example.com -d '*.example.com'

需提前配置 DNS API 凭据(如 Cloudflare、阿里云等)。

例如 Cloudflare:

export CF_Key="your_cloudflare_api_key"
export CF_Email="your_cloudflare_email"

未实操,请自行测试

安装证书

acme.sh --install-cert -d example.com \
  --key-file       /path/to/key.pem  \
  --fullchain-file /path/to/fullchain.pem \
  --reloadcmd     "systemctl reload nginx"

证书文件默认保存在 ~/.acme.sh/example.com/。

–reloadcmd 指定证书更新后重启服务的命令。

自动续签

acme.sh 自动创建定时任务,证书到期前会主动续签(Let’s Encrypt 证书有效期为 90 天)。

手动续签:

acme.sh --renew -d example.com --force

其他实用命令

查看已安装证书:

acme.sh --list

升级 acme.sh:

acme.sh --upgrade

切换 CA 机构(如 ZeroSSL):

acme.sh --set-default-ca --server zerossl

或在配置文件在同目录中的account.conf中配置

DEFAULT_ACME_SERVER='https://acme-v02.api.letsencrypt.org/directory'

常见问题

  • 权限问题:确保证书目录可被 Web 服务器读取(如 Nginx 用户需访问 /path/to/key.pem)。

  • DNS API 配置:参考 acme.sh DNS API 文档 设置环境变量。

  • 通配符证书:必须使用 DNS 验证方式。

实操演示

以下教程与自行编译nginx,mysql 和php组合的环境部署

nginx 环境说明

  • 配置用户组和所属用户未www www
  • 站点目录为/home/www/wwwroot/
  • 秘钥存储目录为/usr/local/nginx/ssl/
  • 虚拟站点拆分配置文件目录/usr/local/nginx/vhost/

步骤一:创建站定目录(与域名解析一致)

mkdir /home/www/wwwroot/www.example.com
chowm -R www:www /home/www/wwwroot/www.example.com

创建的站点目录,需要设定为对应的所属组、所属主

步骤二:创建站点配置文件

已在 nginx.conf配置include vhost/*.conf;引入同目录下的文件夹vhost中的站点配置文件www.example.com.conf

  • 单域名配置
server
    {
        listen 80;
        #listen [::]:80;
        server_name www.example.com; # example.com换成对应的域名
        index index.html index.htm;
        root  /home/wwwroot/www.example.com; # example.com换成对应的站点目录
        #error_page   404   /404.html;

        # 拒绝访问特定目录下的PHP文件
        #location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; } 
		
       
	
		# 申请SSL 证书后,打开注释重定向到https配置
        # return 301 https://$host$request_uri; 

        access_log off;
    }
  • 多域名申请配置
server
    {
        listen 80;
        #listen [::]:80;
        server_name www.example.com example.com; # example.com换成对应的域名
        index index.html index.htm;
        root  /home/wwwroot/example.com; # example.com换成对应的站点目录
        #error_page   404   /404.html;

        # 拒绝访问特定目录下的PHP文件
        #location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; } 
		
        
	
		# 申请SSL 证书后,打开注释重定向到https配置
        # return 301 https://$host$request_uri; 

        access_log off;
    }

return 301 https://$host$request_uri; 申请ssl正式前,先注释掉,用于申请证书访问

  • 站点配置文件配置好后,重启nginx服务 ,通过http://www.example.com检查是否能访问成功
systemctl restart nginx.service

步骤三:http验证申请签发证书

cd进入acme.sh的安装目录~/.acme.sh,执行以下命令

  • 单域名申请证书
./acme.sh --issue -d example.com --webroot /home/www/wwwroot/www.example.com
  • 多域名申请证书
./acme.sh --issue -d www.example.com  -d example.com --webroot /home/www/wwwroot/www.example.com

执行上述命令成功后,默认在~/.acme.sh目录中产生一个域名对应的文件夹
在这里插入图片描述

步骤四:安装证书到秘钥配置目录

执行安装命令前,请确保已创建对应的ssl配置目录
acme.sh的安装目录~/.acme.sh,执行以下命令

  • 单域名申请证书安装
./acme.sh --install-cert -d www.example.com --key-file /usr/local/nginx/ssl/www.example.com/key.pem --fullchain-file /usr/local/nginx/ssl/www.example.com/cert.pem
  • 多域名证书安装
./acme.sh --install-cert -d www.example.com -d example.com --key-file /usr/local/nginx/ssl/www.example.com/key.pem --fullchain-file /usr/local/nginx/ssl/www.example.com/cert.pem

执行成功后,会在对应的目录下生成key.pemcert.pem

在这里插入图片描述

步骤五:站点配置文件中配置https配置

修改站点配置文件www.example.com.conf

  • 单域名站点配置
server
    {
        listen 80;
        #listen [::]:80;
        server_name www.example.com; # example.com换成对应的域名
        index index.html index.htm;
        root  /home/wwwroot/www.example.com; # example.com换成对应的站点目录
        #error_page   404   /404.html;

        # 拒绝访问特定目录下的PHP文件
        #location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; } 
		
        
		
        return 301 https://$host$request_uri; 

        access_log off;
    }
server
    {
        listen 443 ssl;
        http2 on;
        #listen [::]:443 ssl http2;
        server_name  www.example.com;
        index index.html index.php;
        root  /home/wwwroot/www.example.com;

        ssl_certificate /usr/local/nginx/ssl/www.example.com/cert.pem;
        ssl_certificate_key /usr/local/nginx/ssl/www.example.com/key.pem;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_ciphers "TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5";
        ssl_session_cache builtin:1000 shared:SSL:10m;
        # openssl dhparam -out /usr/local/nginx/ssl/dhparam.pem 2048
        ssl_dhparam /usr/local/nginx/ssl/dhparam.pem;

        

        #error_page   404   /404.html;

        # Deny access to PHP files in specific directory
        #location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; }

        

        access_log /home/wwwlogs/example.log;
    }
  • 多域名站点配置
server
    {
        listen 80;
        #listen [::]:80;
        server_name www.example.com example.com; # example.com换成对应的域名
        index index.html index.htm;
        root  /home/wwwroot/example.com; # example.com换成对应的站点目录
        #error_page   404   /404.html;

        # 拒绝访问特定目录下的PHP文件
        #location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; } 
		
      
	
        return 301 https://$host$request_uri; 

        access_log off;
    }
server
    {
        listen 443 ssl;
        http2 on;
        #listen [::]:443 ssl http2;
        server_name  www.example.com example.com;
        index index.html index.php;
        root  /home/wwwroot/www.example.com;

        ssl_certificate /usr/local/nginx/ssl/www.example.com/cert.pem;
        ssl_certificate_key /usr/local/nginx/ssl/www.example.com/key.pem;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_ciphers "TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5";
        ssl_session_cache builtin:1000 shared:SSL:10m;
        # openssl dhparam -out /usr/local/nginx/ssl/dhparam.pem 2048
        ssl_dhparam /usr/local/nginx/ssl/dhparam.pem;

        

        #error_page   404   /404.html;

        # Deny access to PHP files in specific directory
        #location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; }

        

        access_log /home/wwwlogs/example.log;
    }
  • 站点配置文件配置好后,重启nginx服务 ,通过http://www.example.com检查是否能访问成功
    访问的时候,会自动跳转到https://www.example.com
systemctl restart nginx.service

配置文件中ssl_dhparam /usr/local/nginx/ssl/dhparam.pem;可以通过一下命令生成

openssl dhparam -out /usr/local/nginx/ssl/dhparam.pem 2048

删除acme.sh申请的证书

  • 查看已安装的正式列表./acme.sh --list
  • 通过 ./acme.sh --remove -d 域名 删除
  • 改操作只会删除申请记录,需要手动删除相关文件目录,如~/.acme.sh/站点_ecc目录
root@rufeike:~/.acme.sh# ./acme.sh --list
Main_Domain         KeyLength  SAN_Domains         CA               Created               Renew
www.example.com  "ec-256"   example.com  LetsEncrypt.org  2025-04-01T06:24:54Z  2025-05-30T06:24:54Z
test.example.com   "ec-256"   no                  LetsEncrypt.org  2025-03-20T13:09:12Z  2025-05-18T13:09:12Z
root@rufeike:~/.acme.sh# ./acme.sh --remove -d test.example.com
[Tue Apr  1 16:39:59 CST 2025] The domain 'test.example.com' seems to already have an ECC cert, let's use it.
[Tue Apr  1 16:39:59 CST 2025] test.example.com has been removed. The key and cert files are in /root/.acme.sh/test.example.com_ecc
[Tue Apr  1 16:39:59 CST 2025] You can remove them by yourself.
利用 ACME 实现SSL证书自动化配置更新
我的部落格
10-10 961
利用 ACME 实现SSL证书自动化配置更新
acme.sh使用教程
测试0901-1
03-02 6235
安装 安装 acme.sh安装很简单, 一个命令: curl https://get.acme.sh | sh普通用户和 root 用户都可以安装使用。 会安装在 ~/.acme.sh/ 目录下,以后生成的证书也会在这里面,按照域名为文件夹安置。 理论上会自动添加一个 acme.sh 别名,但有时候并不会生成,需要手动执行以下命令: source ~/...
使用acme.sh全自动申请及续签免费SSL证书
小白
03-26 1311
使用acme.sh通过自动申请和续签 Let’s Encrypt SSL 证书的详细教程。支持单域名、多域名及通配符证书
acme.sh:一键搞定证书申请到续期
最新发布
u013008898的博客
04-14 375
HTTPS加密传输,防止数据被窃取或篡改。:谷歌等搜索引擎优先收录HTTPS站点。:浏览器地址栏显示“小锁”,提升用户信任感。:纯Shell脚本编写,轻量无依赖。:申请、安装、续期一条龙,无需人工干预。:默认Let's Encrypt,也支持ZeroSSL等。
【Linux】使用 acme.sh 实现了 acme 协议生成免费的SSL 证书
ihero的博客
02-22 2922
acme.sh 实现了 acme 协议, 可以从多个CA提供商获取SSL证书,包括从 letsencrypt 获取生成免费的证书.下面详细介绍如下:
ACME申请SSL证书
qq_35650513的博客
07-19 3358
接下来,我们需要创建一个专门存放证书的文件夹,下文我们安装证书时,就会安装进这个文件夹里面。最后一步,安装至证书文件夹,并重启nginx加载SSL,出现下图代表SSL配置完成。紧接着,我们完善我们上文的nginx配置文件,加上SSL部分的配置信息。我们使用ACME申请域名前,需要先配置nginx文件。好的,接下来就可以申请域名了,出现下图代表申请成功。
acme.sh部署ssl 证书
qq_53851932的博客
12-11 254
注意:如果安装完成后提示 -bash: acme.sh: command not found,需要手动执行 source ~/.bashrc。注意:acme.sh的根目录是一个隐藏文件夹.acme.sh。1、前往对应供应商用户管理,增加用户并获取秘钥。
acme.sh生成https证书
逍遥的前端笔记
08-02 794
SSL 价格并不便宜, 本节介绍如何使用 acme.sh 生成免费的 SSL 证书
群晖利用acme.sh自动申请证书并且自动重载证书的问题解决
王三三
12-20 1308
21年的时候写了一个在群晖(黑群晖)下利用acme.sh自动申请Let‘s Encrypt的脚本工具 群晖使用acme自动申请Let‘s Encrypt证书脚本,自动申请虽然解决了,但是自动重载一直是一个问题,本人也懒,一想到去跟踪重载过程就头大,所以就一直没有更新,每一次证书快过期了,就得手动登陆进去把全部证书的绑定替换两遍,因为在网页端手动更换绑定会触发证书重载的刷新,替换两次是因为第一次换成错的,第二次换成正确的绑定,仅此而已。虽然拖了几年一直没跟踪这个自动化的实现过程,但是心里始终是有点东西没放下,
~/.acme.sh/acme.sh --issue -d 你的域名 --standalone
01-05
成功完成验证过程之后,`acme.sh` 将自动下载并安装新颁发的 SSL/TLS 证书文件至默认存储路径 `/root/.acme.sh/example.com/` 下[^2]。 需要注意的是,在运行上述命令前应确保端口80(HTTP)未被其他服务占用,因为...
acme.sh:实现ACME客户端协议的纯Unix Shell脚本
01-30
**acme.sh** 是一个基于 Unix Shell 脚本实现的 ACME 客户端工具,主要用于自动化获取和管理 Let's Encrypt 以及其他支持 ACME 协议的证书颁发机构(如 ZeroSSL、Buypass)的SSL/TLS证书ACME(Automatic ...
linux acme.sh 生成ssl证书 国内
02-12
### 使用 acme.sh 在 Linux 上生成适合中国环境的 SSL/TLS 证书 #### 安装 acme.sh 为了在 Linux 环境中使用 `acme.sh` 来获取 SSL/TLS 证书,首先需要安装该工具。可以通过以下命令来完成安装: ```bash curl ...
acme.sh安装ssl
Ache的博客
07-06 2827
今天换了服务器需要重新生成ssl。尝试了下acme.sh。 1安装acme.sh curl https://get.acme.sh | sh 运行以上命令就能自动完成安装acme.sh。并生成~/.acme.sh文件夹。如需将acme.sh修改为全部命令。只需要创建一个alias即可alias acme.sh=~/.acme.sh/acme.sh 2域名解析 在这里我是通过dns的方式生成证书...
ACME.SH 申请SSL证书(免费、自动更新)
热门推荐
fyhju1的博客
09-24 1万+
1. 获取DNS密钥 (1)获取域名服务商AccessKey ID及AccessKey Secret 我使用的域名是阿里云,故需要去阿里云RAM管理平台获取: 其他服务商,可以去指定的服务商控制台获取。 阿里云参考文档:如何获取AccessKey ID和AccessKey Secret - 阿里云如何获取AccessKey ID和AccessKey Secret - 阿里云 记住APPID和APPSecret 2. 安装与申请 (1)安装ACME curl https://get.ac
acme.sh 申请通配符证书
weixin_34150503的博客
03-21 288
Let's Encrypt 最近推出了通配符证书,尝试一下使用 acme.sh 进行申请,还是非常方便的。官方文档 第0步 我们按照文档中的描述进行第一步的时候可能会出现一些错误的提示如果看到有 socat 字样,那么先执行 sudo apt-get install socat // 或者 sudo yum install socat ...
使用 acme.sh 配置SSL 证书
santian
01-02 271
支持 5 个正式环境 CA,分别是。替换为你需要申请证书的域名。替换为你需要安装证书的域名。
acme 生成通配符 SSL 证书
dyang129的专栏
04-04 3415
acme生成通配符ssl证书,并自动更新。
acme.sh进行ssl证书申请
m0_54011621的博客
08-22 1427
/ 信息保存在 .acme.sh/account.conf// ↓ 填入账号的token令牌 [ root@ .acme.sh ] # export CF_Token="Y_jpG9AnfQmuX5Ss9M_qaNab6SQwme3HWXNDzRWs" // ↓ 填入账号域名的ID [ root@ .acme.sh ] # export CF_Account_ID="763eac4f1bcebd8b5c95e9fc50d010b4"
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值