阿里云使用 acme.sh 自动申请免费证书并持续更新

概述

本文分为以下几个部分来介绍如何使用 acme.sh 自动申请免费证书并持续更新：

• 什么是 acme.sh
• 安装 acme.sh
• 签发免费证书
• 证书自动更新
• CDN 证书自动更新

什么是 acme.sh

acme 是 “Automated Certificate Management Environment” 首字母的缩写，它是一种协议，用于自动化与证书颁发机构（CA）之间的交互，以便于在服务器上自动获取和管理 SSL/TLS 证书。acme.sh 是一个基于 acme 协议的 shell 脚本，可以用来申请免费的证书。它的另一个好处是自动更新证书。别小看这一点，由于免费证书有效期一般只有 90 天，虽然不算太短，但是你可能会忘记更新证书，这时候 acme.sh 的自动更新功能就非常实用了。

acme.sh 支持众多 CA，如果不指定，现在默认的 CA 是 ZeroSSL，并不是大家熟知的 Let's Encrypt。更多关于 acme.sh 的介绍可以参考 wiki。

安装 acme.sh

首先登录上你的服务器，然后执行以下命令的任意一个安装 acme.sh：

# 通过 curl 安装
curl https://get.acme.sh | sh -s email=my@example.com
# 或者通过 wget 安装
wget -O -  https://get.acme.sh | sh -s email=my@example.com

除此之外，还可以使用 Git 克隆的方式安装：

git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com

安装脚本会替你自动完成以下三件事：

• 1、拷贝 acme.sh 到 ~/.acme.sh/ 目录下。之后签发的所有的证书也会放在这个目录下。
• 2、创建一个 acme.sh 别名：acme.sh=~/.acme.sh/acme.sh。别名就是一个快捷方式，你可以直接使用 acme.sh 命令来执行 acme.sh 脚本而不用每次输入完整的脚本路径。
• 3、创建一个cron 任务，该任务每天会检查证书，并必要的情况下自动更新证书。

什么是必要的情况呢？默认情况下，acme.sh 会每隔 60 天自动更新证书，当然这是可配置的。这也是可理解的，毕竟免费证书的有效期只有 90 天。

签发免费证书

我们这里介绍如何使用阿里云的域名 API 自动签发免费证书。如果你不是阿里云用户，可以参考这里，总有一个适合你。

以我这个网站为例，我要指定的域名是 verytools.net 和 *.verytools.net，首先需要设置好阿里云 RAM 账号的 AccessKey 和 SecretKey，然后执行以下命令：

export Ali_Key="<AccessKey>"
export Ali_Secret="<SecretKey>"
acme.sh --issue --dns dns_ali -d verytools.net -d *.verytools.net

注：*.verytools.net 并不包含 verytools.net。我希望我的网站能直接通过 verytools.net 访问，同时还需要支持一些子域名，例如：cdn.verytools.net 或 api.verytools.net，所以在签发证书时需同时指定一个泛域名和一个普通域名。* 代表任意子域名，以后想添加新的子域名，该证书也能支持。

好了，那么 Ali_Key 和 Ali_Secret 究竟如何获取？首先你需要登录阿里云账号，进入控制台搜索 RAM访问控制，或者点击这里直达访问控制。

如上图，添加一个新用户，名称可随意，注意勾选OpenAPI 调用访问，用户创建完成后，注意保存 AccessKey ID 和 AccessKey Secret，这便是上面的 Ali_Key 和 Ali_Secret 需要配置的值，然后给用户添加 AliyunDNSFullAccess 权限。

执行完上面的命令后，证书会被签发到 ~/.acme.sh/verytools.net_ecc 目录下，使用 ls 命令可以查生成的证书文件：

total 36K
-rw-r--r-- 1 root root 2.7K Aug 29 17:45 ca.cer
-rw-r--r-- 1 root root 4.1K Aug 29 17:45 fullchain.cer
-rw-r--r-- 1 root root 1.5K Aug 29 17:45 verytools.net.cer
-rw-r--r-- 1 root root  822 Aug 29 17:45 verytools.net.conf
-rw-r--r-- 1 root root  485 Aug 29 17:44 verytools.net.csr
-rw-r--r-- 1 root root  206 Aug 29 17:44 verytools.net.csr.conf
-rw------- 1 root root  227 Jun 30 20:44 verytools.net.key

但是千万不要打这个目录下证书的主意，因为这里证书仅供 acme.sh 内部使用，你应该使用安装证书命令来将证书安装到正确的位置，具体操作会在下面说明。

证书自动更新

首先假设我们的 nginx 中，证书相关的配置如下：

server {
    listen 443 ssl;
    server_name verytools.net;
    ssl_certificate /usr/local/nginx/certs/cert.pem;
    ssl_certificate_key /usr/local/nginx/certs/key.pem;
    ...
}

显然我们希望将证书安装到 /usr/local/nginx/certs/ 目录下，于是我们可以执行以下命令来安装证书：

acme.sh --install-cert -d verytools.net --key-file /usr/local/nginx/certs/key.pem --fullchain-file /usr/local/nginx/certs/cert.pem --reloadcmd "/usr/local/nginx/sbin/nginx -s reload"

其中 --reloadcmd 参数指定了证书安装成功后，需要执行的命令。该命令的目的是让 nginx 重新加载证书。这里需要特别注意，请根据你的实际情况指定该命令，不管用什么命令，只要能保证 nginx 能够重新加载证书即可。

安装证书只需要执行一次，安装位置、重启命令都会被 acme.sh 记录下来，以后证书更新时，会自动安装到正确的位置，并执行正确的命令。

CDN 证书自动更新

有很多网站都会使用 CDN 来加速静态资源的访问，本站也不例外，静态资源一般也会有自己的域名，例如：cdn.verytools.net。那么 CDN 证书如何自动更新呢？

前面提到过，我们在签发证书时，使用了泛域名 *.verytools.net，所以生成的证书也可以用于 cdn.verytools.net。我们完全可以将这个证书配置到 CDN 的 https 配置部分。除了手动配置外，我们可以使用阿里云的 API 来自动完成这个过程。

具体的 API 可以参考 SetCdnDomainSSLCertificate - 设置CDN域名证书，当然阿里云也提供了 SDK，可以直接使用 SDK 来调用 API，点这里直达SDK下载地址。

你完全可以自己写一个定时任务，监测安装目录下 key.pem 和 cert.pem 是否发生变化，如果发生变化，就调用 API 来更新 CDN 证书。这里不再赘述，有兴趣的可以自己尝试。

这里还是要提醒一下，调用 API 时，需要使用 RAM 账号的 AccessKey 和 SecretKey，所以你必须先创建一个 RAM 账号，然后给该账号添加 AliyunCDNFullAccess 的权限。