使用 acme.sh 生成免费 90 天的 SSL 泛域名证书

原文地址求你点进去看，给自己的博客加加热度

https://typecho.hanzhe.site/archives/13.html

acms.sh 是 Github 上开源的一款 SSL 证书申请工具，该工具安装配置完成后可帮我们申请免费 SSL 证书，并通过定时任务实现证书自动续期，理论上配置一次终生实用，官方有提供了中文文档可自行查阅，这里记录下我的操作流程，下列操作均为国内服务器 ubuntu-20.04 免梯完成

首先安装 acme.sh 脚本，根据官方文档可得知执行一行命令即可安装完成，该命令会远程下载 acme.sh 脚本并安装到当前用户的 home 目录下，同时为该脚本创建 alias 别名，所以安装完成后需要刷新一下环境

# 这部分忘了记录日志，仅提供命令参考

# 安装 acme.sh，注意这个邮箱换成自己的邮箱，也可以选择不提供邮箱
$ curl https://get.acme.sh | sh -s email=my@example.com

# 刷新环境，使别名生效
$ source ~/.bashrc

# 可通过查看版本号检查是否安装成功
$ acme.sh -v
https://github.com/acmesh-official/acme.sh
v3.1.0

接下来需要申请 SSL 证书，根据官方文档介绍申请证书有很多种方法，这里介绍我了解的三种方式：

• HTTP 方式：检测本机安装的 WEB 服务器，自动在网站根目录下创建文件完成校验域名所有权，支持自动续签，如果没有 WEB 服务器且 80 端口属于空闲状态，脚本还会模拟出一个 WEB 服务器进行响应，由于我的 WEB 环境是 Docker 部署无法检测，且占用了 80 端口，该方案 PASS

• 自动 DNS：通过域名服务商的 APIKEY 调用接口自动为域名创建解析记录完成校验域名所有权，支持自动续签，可惜我的域名来自西部数码，西部数码仅对代理开放 API 调用权限（想骂街），代理需要预充值（更想骂街），该方案 PASS

• 手动 DNS：这是我正在使用的方案，在域名提供商手动创建解析记录，脚本校验域名所有权后颁发证书

介绍完成准备干活，按照官方文档的流程走，在命令行输入以下命令

# 我申请的是泛域名证书，所以用 *.hanzhe.site
$ acme.sh --issue --dns -d *.hanzhe.site --yes-I-know-dns-manual-mode-enough-go-ahead-please
[2024年 10月 14日 星期一 11:56:07 CST] Using CA: https://acme.zerossl.com/v2/DV90
[2024年 10月 14日 星期一 11:56:07 CST] Single domain='*.hanzhe.site'
[2024年 10月 14日 星期一 11:56:20 CST] Getting webroot for domain='*.hanzhe.site'
[2024年 10月 14日 星期一 11:56:20 CST] Add the following TXT record:
[2024年 10月 14日 星期一 11:56:20 CST] Domain: '_acme-challenge.hanzhe.site'
[2024年 10月 14日 星期一 11:56:20 CST] TXT value: 'G2kdxbaqrhza92njOTS5Rm9Tm_BLXsJLQAjm5luF63A'
[2024年 10月 14日 星期一 11:56:20 CST] Please make sure to prepend '_acme-challenge.' to your domain
[2024年 10月 14日 星期一 11:56:20 CST] so that the resulting subdomain is: _acme-challenge.hanzhe.site
[2024年 10月 14日 星期一 11:56:20 CST] Please add the TXT records to the domains, and re-run with --renew.
[2024年 10月 14日 星期一 11:56:20 CST] Please add '--debug' or '--log' to see more information.
[2024年 10月 14日 星期一 11:56:20 CST] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh

根据日志可以看出申请的是 ZeroSSL 的证书，需要添加TXT类型的_acme-challenge解析记录，记录值在日志中也能看到，打开域名提供商管理地址，添加对应的解析记录

这里稍等片刻，确保解析生效后按照官方文档的流程继续走，校验域名所有权并生成证书

[2024年 10月 14日 星期一 12:07:37 CST] The domain '*.hanzhe.site' seems to already have an ECC cert, let's use it.
[2024年 10月 14日 星期一 12:07:37 CST] Renewing: '*.hanzhe.site'
[2024年 10月 14日 星期一 12:07:37 CST] Renewing using Le_API=https://acme.zerossl.com/v2/DV90
[2024年 10月 14日 星期一 12:07:40 CST] Using CA: https://acme.zerossl.com/v2/DV90
[2024年 10月 14日 星期一 12:07:40 CST] Single domain='*.hanzhe.site'
[2024年 10月 14日 星期一 12:07:41 CST] Verifying: *.hanzhe.site
[2024年 10月 14日 星期一 12:07:48 CST] Processing. The CA is processing your order, please wait. (1/30)
[2024年 10月 14日 星期一 12:07:53 CST] Success
[2024年 10月 14日 星期一 12:07:53 CST] Verification finished, beginning signing.
[2024年 10月 14日 星期一 12:07:53 CST] Let's finalize the order.
[2024年 10月 14日 星期一 12:07:53 CST] Le_OrderFinalize='https://acme.zerossl.com/v2/DV90/order/***/finalize'
[2024年 10月 14日 星期一 12:07:56 CST] Order status is 'processing', let's sleep and retry.
[2024年 10月 14日 星期一 12:07:56 CST] Sleeping for 15 seconds then retrying
[2024年 10月 14日 星期一 12:08:12 CST] Polling order status: https://acme.zerossl.com/v2/DV90/order/***
[2024年 10月 14日 星期一 12:08:14 CST] Downloading cert.
[2024年 10月 14日 星期一 12:08:14 CST] Le_LinkCert='https://acme.zerossl.com/v2/DV90/cert/***'
[2024年 10月 14日 星期一 12:08:17 CST] Cert success.
-----BEGIN CERTIFICATE-----
这里不能给你们看~
-----END CERTIFICATE-----
[2024年 10月 14日 星期一 12:08:17 CST] Your cert is in: /root/.acme.sh/*.hanzhe.site_ecc/*.hanzhe.site.cer
[2024年 10月 14日 星期一 12:08:17 CST] Your cert key is in: /root/.acme.sh/*.hanzhe.site_ecc/*.hanzhe.site.key
[2024年 10月 14日 星期一 12:08:17 CST] The intermediate CA cert is in: /root/.acme.sh/*.hanzhe.site_ecc/ca.cer
[2024年 10月 14日 星期一 12:08:17 CST] And the full-chain cert is in: /root/.acme.sh/*.hanzhe.site_ecc/fullchain.cer

如果域名所有权校验失败就等几分钟在执行一次，一切顺利的话 SSL 证书已经申请完成了，根据日志可知证书文件在用户目录下，不过官方不建议直接将文件复制过去，建议通过脚本提供的命令将证书安装到指定目录

# 将证书文件安装到指定目录
$ acme.sh --install-cert -d *.hanzhe.site \
    --key-file       /opt/docker/nginx/data/ssl/site.hanzhe/key.pem \
    --fullchain-file /opt/docker/nginx/data/ssl/site.hanzhe/cert.pem \

证书准备就绪，如果你的 WEB 服务器已经配置好了证书直接重启就行了，我这里使用的是 NGINX WEB 服务器：

server {
    listen       443 ssl;
    server_name  hanzhe.site www.hanzhe.site;
    ssl_certificate      /data/ssl/site.hanzhe/cert.pem;   # SSL证书配置
    ssl_certificate_key  /data/ssl/site.hanzhe/key.pem;    # SSL证书配置
    location / {
        root             /usr/share/nginx/www;
        index            index.html index.htm index.php;
    }
}

配置完成后使用docker compose restart ngixn重启 WEB 服务器即可

题外话：我的服务器环境不支持自动续期，发现颁发者为 ZeroSSL 之后本打算自己去申请来着，结果发现 ZeroSSL 的泛域名证书需要注册登录后购买高级订阅，是收费的，这个脚本可以免登录直接帮我申请到手，感谢感谢