概述
acme.sh 是一个实现 ACME 客户端协议的纯 Unix shell 脚本,可以通过 Let's Encrypt、ZeroSSL.com 等 CA 机构申请颁发免费的 SSL 证书。
安装 acme.sh
参考自:如何安装 acme.sh,文中以域名 dodoo.co 、注册邮箱 do@dodoo.co 为例:
① 在线安装 推荐
安装说明
在线安装命令会自动执行如下操作:
- 从 https://get.acme.sh/ 下载脚本并解压至 ~/.acme.sh 目录下
- 为脚本设置 acme.sh 的 alias 别名
- 注册 cron 定时任务用于自动更新证书
执行如下命令,即可安装:
sh
curl https://get.acme.sh | sh -s email=do@dodoo.co或者:
sh
wget -O - https://get.acme.sh | sh -s email=do@dodoo.co② 使用 Git 克隆安装
安装说明
通过 Git 将脚本克隆至本地,进行手动安装。若 Github 克隆失败,也可以将仓库地址替换为码云仓库:https://gitee.com/neilpang/acme.sh.git ,更多安装参数参考:高级安装。
sh
git clone --depth 1 https://github.com/acmesh-official/acme.sh.git
cd acme.sh
./acme.sh --install -m do@dodoo.co颁发证书
提示
若旧证书在有效期内会颁发失败,可以通过
--force参数进行强制颁发新证书。颁发证书支持多种模式,推荐使用
webroot模式,此模式下无需停止运行中的 Web 服务,就可以进行域名校验证书颁发,其他模式可参考:如何颁发证书 。
使用 webroot 模式颁发证书,命令如下:
sh
acme.sh --issue -d dodoo.co --webroot /data/wwwroot/dodoo.co/ --force打印如下,说明证书颁发成功:
sh
[xxx CST 2023] Using CA: https://acme.zerossl.com/v2/DV90
[xxx CST 2023] Single domain='dodoo.co'
[xxx CST 2023] Getting domain auth token for each domain
[xxx CST 2023] Getting webroot for domain='dodoo.co'
[xxx CST 2023] Verifying: dodoo.co
[xxx CST 2023] Processing, The CA is processing your order, please just wait. (1/30)
[xxx CST 2023] Success
[xxx CST 2023] Verify finished, start to sign.
[xxx CST 2023] Lets finalize the order.
[xxx CST 2023] Le_OrderFinalize='https://acme.zerossl.com/v2/DV90/order/xxxxx/finalize'
[xxx CST 2023] Order status is processing, lets sleep and retry.
[xxx CST 2023] Retry after: 15
[xxx CST 2023] Polling order status: https://acme.zerossl.com/v2/DV90/order/xxxxxxxx
[xxx CST 2023] Downloading cert.
[xxx CST 2023] Le_LinkCert='https://acme.zerossl.com/v2/DV90/cert/_xxxx-xxxxx'
[xxx CST 2023] Cert success. // [!code focus]
-----BEGIN CERTIFICATE----- // [!code focus]
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx // [!code focus]
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx // [!code focus]
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx // [!code focus]
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx // [!code focus]
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx // [!code focus]
-----END CERTIFICATE----- // [!code focus]
[xxx CST 2023] Your cert is in: /root/.acme.sh/dodoo.co_ecc/dodoo.co.cer // [!code focus]
[xxx CST 2023] Your cert key is in: /root/.acme.sh/dodoo.co_ecc/dodoo.co.key // [!code focus]
[xxx CST 2023] The intermediate CA cert is in: /root/.acme.sh/dodoo.co_ecc/ca.cer // [!code focus]
[xxx CST 2023] And the full chain certs is there: /root/.acme.sh/dodoo.co_ecc/fullchain.cer // [!code focus]安装证书
提示
- 如上步骤生成证书后,默认会放在
~/acme.sh目录下,若要将证书安装到Apache / Nginx或其他服务器,不要直接使用此目录下的文件,可以通过--install-cert命令,将证书文件复制到指定位置。 - 证书默认每
60天更新一次,更新证书后,需要通过--reloadcmd命令重新加载Apache / Nginx服务,所以正确配置命令,可以确保证书更新后,服务器会重新加载自动生效,--reloadcmd命令如下:
sh
# Apache 服务器
service apache2 force-reload
# Nginx 服务器
service nginx force-reloadApache 示例:
sh
acme.sh --force --install-cert -d dodoo.co \
--cert-file /usr/local/nginx/conf/ssl/dodoo.co.crt \
--key-file /usr/local/nginx/conf/ssl/dodoo.co.key \
--fullchain-file /usr/local/nginx/conf/ssl/dodoo.co.crt \
--reloadcmd "service apache2 force-reload"Nginx 示例:
sh
acme.sh --force --install-cert -d dodoo.co \
--key-file /usr/local/nginx/conf/ssl/dodoo.co.key \
--fullchain-file /usr/local/nginx/conf/ssl/dodoo.co.crt \
--reloadcmd "service nginx force-reload"打印如下,说明证书安装成功:
sh
[xxx CST 2023] The domain 'dodoo.co' seems to have a ECC cert already, lets use ecc cert.
[xxx CST 2023] Installing key to: /usr/local/nginx/conf/ssl/dodoo.co.key
[xxx CST 2023] Installing full chain to: /usr/local/nginx/conf/ssl/dodoo.co.crt
[xxx CST 2023] Run reload cmd: service nginx force-reload
Redirecting to /bin/systemctl force-reload nginx更新证书
提醒
- 定时任务会自动更新证书,一般无需手动更新。
- 若旧证书在有效时间内会提示更新失败,需要通过
--force参数进行强制更新。 - 保证
~/acme.sh路径下的域名配置信息未被修改的前提下,可以通过--renew命令来更新证书。
命令如下:
sh
acme.sh --renew -d dodoo.co --force也可以通过 --ecc 参数,指定为 ECC 证书:
sh
acme.sh --renew -d dodoo.co --ecc --force停止更新证书
若要停止更新证书,可以执行如下命令从列表中移除:
sh
acme.sh --remove -d dodoo.co也可以指定停止更新 ECC 证书:
sh
acme.sh --remove -d dodoo.co --ecc升级 acme.sh
提醒
由于 acme 协议和 Let's Encrypt CA 都在频繁的更新,为了证书生成有效,需要保持 acme.sh 为最新版本。
手动升级 acme.sh 到最新版:
sh
acme.sh --upgrade若不想手动升级,可以开启自动升级:
sh
acme.sh --upgrade --auto-upgrade若不想自动升级,可以关闭自动升级:
sh
acme.sh --upgrade --auto-upgrade 0发送通知
通过
--set-notify参数配置通知,在定时任务执行时acme.sh会自动发送通知 。
参数说明:
| 参数 | 说明 |
|---|---|
--notify-level | 设置通知级别:默认为 20:禁用,不发送通知。1:仅在出现错误时发送通知。2:在成功续签证书或出现错误时发送通知。3:在跳过证书、更新证书或出现错误时发送通知。此级别,每天都会收到通知。 |
--notify-mode | 设置通知模式:默认为 00:批量模式,在一条消息中发送所有域名的通知1:证书模式,每一个证书发送一个消息。可能每天收到大量的电子邮件。 |
--notify-hook [hookname] | 设置通知钩子。具体可参考:https://wiki.acme.sh/notify ,也可以自己实现钩子。 |
--notify-source | 在通知消息中设置服务器名称。用于消息通知的标题展示。 |
以钉钉群通知为例:
创建钉钉群组机器人请参考:自定义机器人的创建和安装
sh
# 指定 webhook 地址
export DINGTALK_WEBHOOK='https://oapi.dingtalk.com/robot/send?access_token=b05ccexxxxx'
# 指定关键字
export DINGTALK_KEYWORD=acme
acme.sh --set-notify --notify-hook dingtalk向钉钉群组发送如下消息,说明配置成功:
sh
[acme]
Hello, this is a notification from acme.sh by xxxxxxxxxxxxxxxxx
If you receive this message, your notification works.查看已安装证书
sh
# 以查看 dodoo.co 域名证书信息为例:
acme.sh --info -d dodoo.co
# 输出如下:
DOMAIN_CONF=/root/.acme.sh/dodoo.co_ecc/dodoo.co.conf
Le_Domain=dodoo.co
Le_Alt=no
Le_Webroot=/data/wwwroot/dodoo.co/
Le_PreHook=
Le_PostHook=
Le_RenewHook=
Le_API=https://acme.zerossl.com/v2/DV90
Le_Keylength=ec-256
Le_OrderFinalize=https://acme.zerossl.com/v2/DV90/order/rBAvjNxjxxxxxxg/finalize
Le_LinkOrder=https://acme.zerossl.com/v2/DV90/order/rBAvjNxxxxxxxvT_Ytzg
Le_LinkCert=https://acme.zerossl.com/v2/DV90/cert/XQ3EexxxxxxxxwZZ7tQ
Le_CertCreateTime=1695866890
Le_CertCreateTimeStr=2023-09-28T02:08:10Z
Le_NextRenewTimeStr=2023-11-26T02:08:10Z
Le_NextRenewTime=1700964490
Le_RealCertPath=
Le_RealCACertPath=
Le_RealKeyPath=/usr/local/nginx/conf/ssl/dodoo.co.key
Le_ReloadCmd=service nginx force-reload
Le_RealFullChainPath=/usr/local/nginx/conf/ssl/dodoo.co.crt附录
支持 CA 机构
提示
切换 CA 机构需要注册对应账号,更多设置请参考:https://wiki.acme.sh/Server 。
v3 版本开始默认 CA 变更为 ZeroSSL,具体差异可查看: ZeroSSL 与 Let's Encrypt 对比
- ZeroSSL.com CA 默认
- Letscrypt.org CA
- BuyPass.com CA
- SSL.com CA
- Google.com Public CA