什么是 ACME

ACME(Automatic Certificate Management Environment) 是一种协议,主要用于自动化地获取、安装和管理 TLS/SSL 证书。它由 Let's Encrypt 推出,帮助用户快速、安全地部署和更新证书,以便加密网络流量,确保通信安全。 > link (opens new window)

核心功能

ACME 协议的核心是自动化证书签发和续期,这对于大规模或频繁的证书管理场景尤为重要。通过 ACME,服务器可以自动与证书颁发机构(如 Let's Encrypt)通信,来请求、验证、安装和续期证书

主要流程

1. 账户注册: 客户端创建一个 ACME 账户,通常生成一个私钥用于身份验证
2. 证书申请: 客户端通过 ACME 请求证书
3. 域名验证: CA 机构验证域名所有权,常用验证方式包括 HTTP-01、DNS-01 和 TLS-ALPN-01
4. 签发证书: 验证成功后,CA 会签发证书并提供下载
5. 证书续期: 在证书接近到期时,客户端自动发起续期请求

ACME 协议的主要优点

• 自动化: 无需人工介入即可自动完成证书管理
• 免费: ACME 协议应用于 Let's Encrypt 提供的免费证书,降低了 SSL 证书成本
• 安全性: 加密通信保障了数据隐私和安全性,特别是通过 ACME 自动续期避免过期风险

常用工具

Certbot 是一个主流的 ACME 客户端,用于自动化证书申请和管理

acme.sh

A pure Unix shell script implementing ACME client protocol. link (opens new window)

• ~/.acme.sh/acme.sh --list: 列出已安装的证书
• ~/.acme.sh/acme.sh --remove -d example.com: 卸载证书
• rm -rf ~/.acme.sh/ example.com: 执行 --remove 命令后,如果你还想彻底删除本地证书文件,可以手动删除证书存储路径中的文件
• ~/.acme.sh/acme.sh --uninstall: 卸载 acme.sh 工具
• ~/.acme.sh/acme.sh --issue -d example.com --standalone --debug: 查问题
• ~/.acme.sh/acme.sh --renew -d example.com --force: 自动续期测试

link

• How-to-debug-acme (opens new window)