ACME（自动证书管理环境）是一个互联网工程任务组维护的协议，它允许自动化 Web 服务器证书的部署，acme.sh (opens new window) 是支持 ACME 协议流行的客户端之一，可以通过其实现 SSL 证书的自动申请、续期等。本文将为您介绍如何使用 acme.sh 自动申请证书。

安装 acme.sh

全新安装

适用于未安装 acme.sh 的用户，使用以下命令安装 acme.sh 客户端：

curl https://get.acme.sh | sh -s email=my@example.com

或者：

wget -O -  https://get.acme.sh | sh -s email=my@example.com

说明

请将 my@example.com 替换为您的邮箱地址

然后稍等片刻，如下图，出现Install success 的提示表示安装成功了。通过安装日志，可以看到安装目录，并且还看到创建一个 cron job，这个job就是自动更新证书的定时任务。

还有一种克隆仓库的安装方式。

git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install

安装位置在这里，也就是当前用户home目录中。

Installing to /root/.acme.sh
Installed to /root/.acme.sh/acme.sh
Installing alias to '/root/.bashrc'

旧版升级

适用于已安装 acme.sh 的用户，请运行以下命令升级 acme.sh 客户端：

acme.sh --upgrade

将 acme.sh注册为全局命令

要使 acme.sh 命令在全局范围内可用，可以创建一个符号链接，将 acme.sh 脚本链接到 /usr/local/bin/ 目录中。这样，你可以在任何地方使用 acme.sh 命令。

执行以下命令创建符号链接：

ln -s ~/acme.sh /usr/local/bin/acme.sh

验证 acme.sh 是否已成功注册为全局命令

acme.sh --version

如果 acme.sh 已正确安装并注册为全局命令，上述命令会显示 acme.sh 的版本信息。

账号注册

初次使用，可能需要注册账号，一个邮箱即可（此步可先跳过，等到执行具体命令时如果提示，再注册不迟）

acme.sh --register-account -m example.com

acme 默认使用的是 ZeroSSL，但是 ZeroSSL 不是很稳定，如果可能的话，可以切换到letsencrypt，当然了，不切换也无所谓。

acme.sh  --set-default-ca --server letsencrypt

登录变量将被保存~/.acme.sh/account.conf并在需要时重新使用。

生成证书

有两种方式生成证书，一种是 HTTP 方式，另一种是 DNS 方式。

比较推荐使用 DNS 方式，域名不用备案，而且可以自动更新续期。

HTTP 方式

下面这个命令是 HTTP 方式，-d 后面是域名，--webroot 后面是网站根目录。这种方式会在你的服务器根目录生成一个验证文件，然后通过80端口访问

但是先别着急执行啊，这种方式在国内有个问题，就是你的域名必须要先备案，要不然 80 端口会被工信部的未备案提示页面拦截，导致没办法生成证书。

所以域名在国内或者服务器在国内，最好还是别用这种方式。

acme.sh --issue -d example.com --webroot /web/

DNS 方式和自动更新

在acme.sh的github (opens new window) ，可以看到所支持的域名供应商，只要能在这里面找到的，都支持 DNS 方式验证，基本上市面上你能买到域名的地方都可以用这种方式，阿里云、华为云、腾讯云等等都在其中，里面有具体的参数说明。

以腾讯云为例，首先根据腾讯云官方文档 (opens new window)获取腾讯云 SecretId 和 SecretKey，然后将这两个值导入环境变量。

export Tencent_SecretId="<Your SecretId>"
export Tencent_SecretKey="<Your SecretKey>"

之后再执行生成证书的命令

acme.sh --issue --dns dns_tencent -d example.com -d *.example.com

或者

acme.sh  --issue -d xiaoying.org.cn  -d '*.xiaoying.org.cn'  --dns dns_cf

执行这个命令后，acme.sh 将尝试生成一个包含所有这些域名的SSL/TLS证书。这意味着你将得到一个证书，而不是两个单独的证书。这个证书将允许你使用单个证书来保护 xiaoying.org.cn 及其所有子域名，并保存在~/.acme.sh/example.com/目录下，并且会自动为您的域名配置证书自动续期任务，无需手动续期。

安装和配置 SSL 证书

注意

acme.sh 不建议直接使用~/.acme.sh/目录下的证书文件，而是通过 acme.sh 提供的命令将证书安装到指定位置，以确保证书的正确使用和续期，详情请参见 Install the cert to Apache/Nginx etc (opens new window)，以下以 Nginx 为例。

申请多个证书时每个创建单独的文件夹存放，以免不同域名的fullchain.cer相互覆盖，只保留最后生成的那个造成证书不匹配的报错

[root@VM-4-16-centos nginx]# nginx -t
nginx: [emerg] SSL_CTX_use_PrivateKey("/etc/nginx/xiaoying.org.cn.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

acme.sh --install-cert  -d xiaoying.org.cn  \
--key-file       /etc/nginx/xiaoying.org.cn.key  \
--fullchain-file  /etc/nginx/fullchain.cer \
--reloadcmd     "service nginx force-reload"

完成申请后请将证书配置到您的网站中，以 Nginx 为例，示例如下：

server {
    listen 443 ssl http2;

    server_name example.com;

    # 请替换为证书实际路径
    ssl_certificate /etc/nginx/fullchain.cer;
    ssl_certificate_key /etc/nginx/xiaoying.org.cn.key;

    ssl_session_timeout 5m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;
    ssl_prefer_server_ciphers off;
    ssl_prefer_server_ciphers on;
    location / {
        root /nginx/www/html;
    }
}

注意

完成后使用systemctl restart nginx请重载服务。

自动更新acme

现在证书已经可以自动更新了，但是 acme 还没有。因为各个免费 SSL 证书平台的规则不是一成不变的，随着他们的更新，acem也会相应的修改规则。

所以，你可以在服务器上执行下面的命令，设置acme 自动升级，保证可用性。

acme.sh --upgrade --auto-upgrade

常见问题

1、端口被占用

检查是否有重复的 NGINX 实例

有时候，重复启动多个 NGINX 实例可能导致端口冲突。你可以使用以下命令检查 NGINX 是否已经在运行

ps aux | grep nginx

如果有多个 NGINX 实例在运行，可以通过下列指令来结束所有 NGINX 进程

pkill nginx 

2、查看申请证书列表

acme.sh --list

3、修改 Nginx 服务的重启命令

vi /usr/lib/systemd/system/nginx.service

在文件中找到 ExecReload 行。它应该看起来像这样：

ExecReload=/usr/sbin/nginx -s reload

将 ExecReload 行修改为使用 systemctl 来重启服务：

ExecReload=/bin/systemctl restart nginx

:wq保存并关闭文件。

为了使更改生效，重新加载 systemd 管理器配置：

systemctl daemon-reload