使用acme.sh颁发TLS证书并安装到nginx/apache实现网站https访问

原文永久链接：https://forum.piwind.com/d/22-shi-yong-acmeshban-fa-tlszheng-shu-bing-an-zhuang-dao-nginxapacheshi-xian-wang-zhan-httpsfang-wen
Date: 2025-06-21
补充说明：acme.sh的邮件里说明了从2025-06-04开始，免费的续订邮件通知服务结束了，以后需要自己配置通知了。
本文的目的：详细解读acme.sh这个开源脚本的内容和用法，并给出一套较优的实践方案，特别适合于没有做DNS轮询、nginx反向代理高可用集群的多服务器多应用的场景。

链接：

• 最流行的免费CA - Let's Encrypt官网：https://letsencrypt.org/
  
• Let's Encrypt机构推荐的用于申请证书的ACME客户端：ACME Client Implementations - Let's Encrypt
  
• 工具acme.sh官方仓库：https://github.com/acmesh-official/acme.sh
  
• acme.sh安装选项：How to install · acmesh-official/acme.sh Wiki
  

参考链接：

• 中文说明：说明 · acmesh-official/acme.sh Wiki
  
• cloudflare的DNS API使用方法：dnsapi · acmesh-official/acme.sh Wiki
  
• 使用 acme.sh 配置自动续签 SSL 证书 - 烧饼博客
  
• 使用 acme.sh 进行SSL证书的申请和自动更新 - 月飞博客
  

技术路线和路径规划：
使用acme.sh工具，从Let's Encrypt这个CA机构获取免费证书

• 规划脚本存放位置：/data/linux/software/acme.sh
  
• 规划acme.sh脚本的数据存放位置【权限确保是600】：/data/linux/files/acme_data
  
• 规划证书和私钥的存放位置：/data/linux/files/tls_certs
  

1. acme.sh安装配置和使用

acme.sh安装和配置流程：

1. ## 下载acme.sh
2. cd /data/linux/files/download
3. git clone --depth 1 https://github.com/acmesh-official/acme.sh.git
5. ## 安装acme.sh，邮箱改成需要通知到的邮箱
6. cd acme.sh
7. ./acme.sh --install \
8.   --home /data/linux/software/acme.sh \
9.   --config-home /data/linux/files/acme_data \
10.   --accountemail "my@example.com"
12. ## 参数说明：--home 是安装软件的目录
13. # --config-home 是存储acme.sh的数据（包括cert/keys, configs）
14. # --cert-home 是保存证书的目录，默认是--config-home的位置
15. # --accountkey 是保存私钥文件的目录，默认是--config-home的位置
16. # --accountemail 是登记在Let's Encrypt中的email，会收到续订证书通知邮件，留空就默认取值CA_EMAIL的值
17. # --nocron 表示安装不带修改crontab
19. ## 装完之后source一下环境变量
20. source ~/.bashrc
22. ## 切换CA机构为letsencrypt
23. acme.sh --set-default-ca --server letsencrypt

复制代码

安装会做3个动作：

• 复制软件到目录，创建配置到目录
  
• 将acme.sh的环境变量写入 ~/.bashrc
  1. ## 示例执行内容：
  2. export LE_WORKING_DIR="/data/linux/software/acme.sh"
  3. export LE_CONFIG_HOME="/data/linux/files/acme_data"
  4. alias acme.sh="/data/linux/software/acme.sh/acme.sh --config-home '/data/linux/files/acme_data'"

  复制代码
• 将每日任务写入cron
  1. 示例内容：
  2. 27 11 * * * "/data/linux/software/acme.sh"/acme.sh --cron --home "/data/linux/software/acme.sh" --config-home "/data/linux/files/acme_data" > /dev/null

  复制代码

2. acme.sh验证域名并颁发证书

acme.sh验证域名所有权并颁发证书的方式：

• HTTP验证【不适用于泛域名证书 *.example.com】
  
  
  
  • webroot验证：在域名解析到对应的服务器的网站根目录（webroot）下创建临时验证文件，CA机构验证该文件的可访问性，以验证域名所有权。
    适用场景：已有运行的 Web 服务器（如 Apache/Nginx），且运行命令的用户对网站根目录有写入权限。
    1. acme.sh --issue -d example.com -w /path/to/webroot

    复制代码
    【路径不出问题就一直能续期】
    
  • standalone模式验证：必须root用户，让acme.sh开一个80端口监听并完成验证。
    适用场景：无运行中的 web服务器，80/tcp端口是空闲的。
    1. acme.sh --issue --standalone -d example.com -d www.example.com -d cp.example.com

    复制代码
    【得保证续期的时候80/tcp没被占用，才能完成续期】
    
  • 调用web服务器插件验证：必须root用户，acme.sh调用nginx/apache加载临时配置以完成验证，不会改动原先的nginx/apache的配置文件。
    1. acme.sh --issue --nginx -d example.com
    2. acme.sh --issue --apache -d example.com

    复制代码
    【可以自动续期】
    
  
  
• DNS验证【申请泛域名证书 *.example.com必须用这个】【没有公网ip也可以用DNS验证】
  
  
  
  • 使用DNS provider的API验证：在DNS provider的控制台中创建API key，把获得的信息存入环境变量，再通过acme.sh调用验证流程即可。
    调用方法：How to use DNS API
    1. ## 支持通配符证书
    2. acme.sh --issue -d example.com -d '*.example.com' --dns dns_cf

    复制代码
    【可以自动续期】
    
  • 手动添加DNS记录以验证：先用acme.sh获取随机的TXT record，再将记录添加到域名的DNS记录中，等待至少1分钟生效后，最后使用acme.sh完成验证
    【不能自动续期】
    
  • 使用别名域来完成DNS验证：给域名的DNS记录添加一条CNAME记录指向别名域名，再在acme.sh中验证，acme.sh会先定位到目标域名跳转到别名域名，再往别名域名中添加TXT记录完成验证。
    【可以自动续期】
    
  
  

申请ECC证书：
acme.sh默认申请的都是RSA证书，现代化的ECC证书体积更小、更安全、性能更强，申请ECC证书就是在以上所有办法中添加参数 -k ec-256
（如果考虑兼容很旧的设备，则同时申请ECC和RSA证书，同时配置在nginx中）
为了更灵活也不影响webroot的内容：
可以在nginx.conf中添加如下内容以单独为acme-challange设置路径：

1.     ## acme-challenge
2.     server {
3.         listen 80;
4.         listen [::]:80;
5.         server_name piwind.com *.piwind.com;
7.         location /.well-known/acme-challenge {
8.             root /usr/share/nginx/acme-challenge;
9.         }
11.         # 其他非挑战请求强制跳转到HTTPS
12.         location / {
13.             return 301 https://$host$request_uri;
14.         }
15.     }

复制代码

操作：webroot验证

在nginx.conf中写了指定路径的网页根目录为/usr/share/nginx/acme-challenge，申请证书：

1. acme.sh --issue -d us01.piwind.com --webroot /usr/share/nginx/acme-challenge -k ec-256

复制代码

操作：使用DNS provider的API验证

域名是托管在cloudflare上，因此先访问cloudflare的API Tokens页面：https://dash.cloudflare.com/profile/api-tokens
创建API Token，选择模板"Edit zone DNS"，Zone Resources选择需要申请证书的域名，可以限制客户端ip以达到最安全的目的，单区域提供token放在环境变量CF_Token，域名的zone ID放在环境变量CF_Zone_ID
也可以Zone Resources包括所有域名，用一个token操作所有域名的验证，多区域提供oken放在环境变量CF_Token，账号的account ID放在环境变量CF_Account_ID（进入任意域名的Overview，右侧面板上有）

1. ## 本次用多区域的方式比较方便，在命令前添加空格以避免这条命令被history记录
2. export HISTCONTROL=ignorespace
3. export CF_Token="xxxxxx"
4. export CF_Account_ID="xxxxxx"
5. acme.sh --issue -d piwind.com -d '*.piwind.com' --dns dns_cf -k ec-256

复制代码

操作成功后退出会话即可清空环境变量
3. 将证书安装到Apache/Nginx

Apache example:

1. acme.sh --install-cert -d example.com \
2.   --cert-file      /path/to/certfile/in/apache/cert.pem  \
3.   --key-file       /path/to/keyfile/in/apache/key.pem  \
4.   --fullchain-file /path/to/fullchain/certfile/apache/fullchain.pem \
5.   --reloadcmd     "service apache2 force-reload"

复制代码

Nginx example:

1. acme.sh --install-cert -d example.com \
2.   --key-file       /path/to/keyfile/in/nginx/key.pem  \
3.   --fullchain-file /path/to/fullchain/nginx/cert.pem \
4.   --reloadcmd     "service nginx force-reload"

复制代码

安装的作用是将web服务器所需的文件从数据目录选出来复制到指定路径，并将reload命令写到acme.sh的数据目录中，以便于续订证书的时候执行并在服务器中生效。
证书和私钥内容写入，会保留原先所在位置文件的权限（acme.sh生成的证书默认644，私钥600），因此方便配置权限。
操作：将证书安装到nginx

1. ## 要先创建目录
2. mkdir -p /data/linux/files/tls_certs
4. ## 安装ecc证书到nginx
5. acme.sh --install-cert -d us01.piwind.com --ecc \
6.   --key-file /data/linux/files/tls_certs/us01.piwind.com.key  \
7.   --fullchain-file /data/linux/files/tls_certs/us01.piwind.com.fullchain.cer \
8.   --reloadcmd "systemctl force-reload nginx"
9. # 泛域名证书只要写main_domain
10. acme.sh --install-cert -d piwind.com --ecc \
11.   --key-file /data/linux/files/tls_certs/piwind.com.key  \
12.   --fullchain-file /data/linux/files/tls_certs/piwind.com.fullchain.cer \
13.   --reloadcmd "systemctl force-reload nginx"

复制代码

之后就可以在nginx的配置文件中引用证书和私钥文件了，比如创建文件 /etc/nginx/conf.d/us01.piwind.com.conf，内容如下：

1.     server {
2.         listen 443 ssl;
3.         listen [::]:443 ssl;
4.         http2 on;
6.         server_name us01.piwind.com;
7.         ssl_certificate       /data/linux/files/tls_certs/piwind.com.fullchain.cer;
8.         ssl_certificate_key   /data/linux/files/tls_certs/piwind.com.key;
10.         location / {
11.             root /usr/share/nginx/html;
12.             proxy_set_header Host $server_name;
13.         }
14.     }

复制代码

然后重新加载nginx：

1. nginx -t
2. nginx -s reload

复制代码

4. 服务器SSL在线检测

链接：

• SSL Server Test (Powered by Qualys SSL Labs)
  
• SSL状态检测
  

参考结果：

acme.sh常用操作

1. ## 列出证书信息
2. acme.sh --list
4. ## 移除证书并手动删除文件
5. acme.sh --remove -d us02.piwind.com
6. rm -rf /data/linux/files/acme_data/us02.piwind.com_ecc
7. rm -rf /data/linux/files/tls_certs/us02.piwind.com.*

复制代码

方便操作：申请单域名证书

1. ## 要先创建目录
2. mkdir -p /data/linux/files/tls_certs
4. export SINGLE_DOMAIN=us02.piwind.com
5. acme.sh --issue -d ${SINGLE_DOMAIN} --webroot /usr/share/nginx/acme-challenge -k ec-256
6. acme.sh --install-cert -d ${SINGLE_DOMAIN} --ecc \
7.   --key-file /data/linux/files/tls_certs/${SINGLE_DOMAIN}.key  \
8.   --fullchain-file /data/linux/files/tls_certs/${SINGLE_DOMAIN}.fullchain.cer \
9.   --reloadcmd "systemctl force-reload nginx"

复制代码

将泛域名证书同步给其他服务器

参考链接：

• amazon ec2 - How do I add SSH Keys to authorized_keys file? - Ask Ubuntu
  

在需要证书的服务器上编写同步脚本（修改配置区中的域名就够了）：

此内容请至原文链接中查看。

参考链接和阅读记录

链接：

• ssl是什么_ssl_tls的区别_SSL证书 | Cloudflare
  
• 数字签名和CA数字证书的核心原理和作用_哔哩哔哩_bilibili
  
• 三行命令，免费申请https加密证书，一次配置，永久生效。NAS/家庭内网服务配置TLS加密，自建网站配置SSL/TLS加密_哔哩哔哩_bilibili
  

来自deepseek-R1的回答：

本文声明：

• 此文可能会存在排版、样式不美观，图片无法显示等问题
  
• 文章内容在原文永久链接中会定期更新，此文不做同步更新
  
• 限于篇幅长度限制，此文可能会有裁剪
  

建议阅读原文链接

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！