概述

本文记录了将网站 kaiwen.work 的 SSL/TLS 证书从“腾讯云控制台手动申请并上传”的模式，迁移到“使用 acme.sh 实现全自动申请、部署与续期”的完整操作流程。通过此方案，服务器证书将在到期前自动更新，无需人工干预，彻底解决证书过期导致的服务中断风险。

核心组件

• 自动化工具：https://github.com/acmesh-official/acme.sh - 一个纯 Shell 脚本实现的 ACME 协议客户端，支持 Let‘s Encrypt、ZeroSSL 等证书颁发机构（CA）。
• 验证方式：DNS API 验证（本文以腾讯云 DNSPod 为例）。
• 证书颁发机构：Let’s Encrypt（切换自 ZeroSSL 以避免限流）。
• Web 服务器：Nginx。

操作流程详解

第一阶段：环境准备与工具安装

1. 安装 acme.sh
   通过以下命令一键安装，安装过程会自动创建 cron 定时任务用于后续的自动续期检查。

   # 邮箱更换为个人邮箱
   curl https://get.acme.sh | sh -s email=my@example.com

   安装后建议重载 Shell 配置或新开终端，使 acme.sh 命令生效。

2. 配置 DNS API 凭证（关键）
   为实现自动化的域名验证，需要配置腾讯云 DNSPod 的 API 密钥。此步骤只需执行一次。

   • 在腾讯云控制台【访问管理】>【API密钥管理】创建并获取 SecretId 和 SecretKey。

   • 临时导出到当前 Shell 环境（安全推荐）：

     export Tencent_SecretId="你的SecretId"
     export Tencent_SecretKey="你的SecretKey"

第二阶段：申请证书

此步骤将触发 acme.sh 通过 ACME 协议向 CA 申请一张新证书。

1. （可选）切换默认 CA
   如果遇到 ZeroSSL 的速率限制，可切换到对测试更友好的 Let‘s Encrypt：

   acme.sh --set-default-ca --server letsencrypt

2. 执行证书签发命令
   使用 DNS API 模式为域名 kaiwen.work 及其子域名 www.kaiwen.work 申请证书。

   acme.sh --issue --dns dns_tencent -d kaiwen.work -d www.kaiwen.work

   • --dns dns_tencent：指定使用腾讯云 DNS API 进行验证。
   • 命令执行成功后，证书文件会生成在 ~/.acme.sh/kaiwen.work_ecc/ 目录下。

第三阶段：安装证书并配置 Nginx

使用 --install-cert 命令将其“安装”到持久化目录，并完成 Nginx 的集成。

1. 执行安装命令
   该命令是实现自动续期的核心，它会：

   • 将证书文件复制到指定目录。
   • 在系统 Cron 中注册续期任务。
   • 设置证书更新后自动执行的命令（如重载 Nginx）。

   acme.sh --install-cert -d kaiwen.work \
     --key-file /etc/nginx/ssl/kaiwen.work.key \
     --fullchain-file /etc/nginx/ssl/kaiwen.work_bundle.crt \
     --reloadcmd "systemctl reload nginx"

2. 确保 Nginx 配置指向正确路径
   验证 Nginx 配置文件中的 ssl_certificate 和 ssl_certificate_key 指令是否指向了上一步安装命令中指定的路径。

   # 在 Nginx 的 server 块中确认
   ssl_certificate     /etc/nginx/ssl/kaiwen.work_bundle.crt;
   ssl_certificate_key /etc/nginx/ssl/kaiwen.work.key;

3. 测试并重载 Nginx

   nginx -t && systemctl reload nginx

第四阶段：验证与后续维护

1. 验证自动续期系统

   • 检查 Cron 任务：执行 crontab -l | grep acme，确认存在类似 0 0 * * * "/root/.acme.sh"/acme.sh --cron ... 的定时任务。
   • 测试续期流程：可运行 acme.sh --cron --dry-run 进行模拟测试。
   • 在线验证：浏览器访问 https://kaiwen.work，点击地址栏锁图标，确认颁发者为 Let's Encrypt 且有效期为 90 天。

2. 后续维护要点

   • 无需操作：系统将在证书到期前约 30 天自动完成续期、部署和 Nginx 重载。
   • 唯一依赖：确保腾讯云 API 密钥长期有效。若密钥变更，需重新设置 Tencent_SecretId 和 Tencent_SecretKey 环境变量。
   • 旧证书处理：之前手动申请的腾讯云证书文件在服务器上可安全删除，控制台内的记录可视情况保留或清理。

总结

通过以上四个阶段，我们成功构建了一个基于 acme.sh 的 SSL 证书自动化管理系统。该系统实现了：
✅ 零成本：使用 Let’s Encrypt 的免费证书。
✅ 全自动：证书申请、验证、续期、部署、服务重载全程无人值守。
✅ 高可靠：基于稳定的 ACME 协议和 Cron 定时任务。
✅ 易维护：配置一次，长期有效，彻底解放运维人力。

如果您看到这篇文章,表示您的 blog 已经安装成功.