安装 acme.sh
acme.sh 是一个轻量级的 ACME 客户端,支持 Let’s Encrypt、ZeroSSL 等证书自动签发。
# 安装 acme.sh
curl https://get.acme.sh | sh
# 安装完成后,加载环境变量
export PATH="$HOME/.acme.sh:$PATH"
# 验证安装
acme.sh --version安装目录默认在 ~/.acme.sh,后续脚本里最好使用绝对路径 /root/.acme.sh/acme.sh 避免 PATH 问题。
acme.sh 默认切到了 ZeroSSL
强制切换 CA 到 Let’s Encrypt
acme.sh --set-default-ca --server letsencrypt配置阿里云 DNS API(用于 DNS 验证)
1. 登录阿里云,进入 RAM 控制台 创建 AccessKey ID/Secret,记得进行授权
2. 在 ~/.acme.sh/dnsapi/ 下配置 dns_ali.sh:
export Ali_Key="你的AccessKeyID"
export Ali_Secret="你的AccessKeySecret"这是 acme.sh 用来通过 DNS 验证域名所有权。
签发证书
单域名证书
/root/.acme.sh/acme.sh --issue \
--dns dns_ali \
-d example.com多域名证书(包含www)
/root/.acme.sh/acme.sh --issue \
--dns dns_ali \
-d example.com \
-d www.example.com签发成功后,证书的路径一般是
~/.acme.sh/example.com/
├── example.com.cer # 站点证书
├── example.com.key # 私钥
├── ca.cer # 中间 CA
└── fullchain.cer # 完整证书链(站点证书 + 中间证书)安装aiyuncli
curl -fsSL https://aliyuncli.alicdn.com/install.sh | sh
配置ak
aliyun configure
注册地就填这个: cn-hangzhou
其他按需填写
生成 CDN 专用证书文件
阿里云 CDN 上传证书需要 站点证书 + 中间证书 合并:
合并 PEM
cat ~/.acme.sh/example.com/example.com.cer ~/.acme.sh/example.com/ca.cer > /home/key/cdn.pem
拷贝私钥
cp ~/.acme.sh/example.com/example.com.key /home/key/cdn.key
使用阿里云 CLI 上传 CDN 证书
阿里云 CLI 命令示例:
单域名示例
aliyun cdn SetCdnDomainSSLCertificate \
–DomainName example.com \
–CertType upload \
–SSLProtocol on \
–SSLPub “$(cat /home/key/cdn.pem)” \
–SSLPri “$(cat /home/key/cdn.key)”
多域名示例
aliyun cdn SetCdnDomainSSLCertificate \
–DomainName www.example.com \
–CertType upload \
–SSLProtocol on \
–SSLPub “$(cat /home/key/cdn.pem)” \
–SSLPri “$(cat /home/key/cdn.key)”
注意:阿里云 CLI 的 –SSLPub 和 –SSLPri 必须是内容,不能直接写文件路径。
自动化脚本(单脚本完成生成+上传+nginx reload)
#!/bin/bash
export PATH=$PATH:/root/.acme.sh
set -e
# --- 配置 ---
DOMAIN_ROOT="example.com"
DOMAINS=("$DOMAIN_ROOT" "www.$DOMAIN_ROOT")
ACME_BIN="/root/.acme.sh/acme.sh"
CERT_DIR="/root/.acme.sh/${DOMAIN_ROOT}"
KEY_DIR="/home/key"
CDN_PEM="$KEY_DIR/cdn.pem"
CDN_KEY="$KEY_DIR/cdn.key"
CDN_PUB_HASH_FILE="$KEY_DIR/cdn_pub_hash"
NGINX_RELOAD_CMD="systemctl reload nginx"
LOG_FILE="/var/log/update_cdn_cert.log"
{
echo "=== $(date) - Start certificate update ==="
# 签发证书
$ACME_BIN --issue -d "$DOMAIN_ROOT" -d "www.$DOMAIN_ROOT" --dns dns_ali
# 生成 CDN PEM 文件
cat "$CERT_DIR/$DOMAIN_ROOT.cer" "$CERT_DIR/ca.cer" > "$CDN_PEM"
cp "$CERT_DIR/$DOMAIN_ROOT.key" "$CDN_KEY"
# reload nginx
$NGINX_RELOAD_CMD || true
# 检查是否更新
NEW_HASH=$(sha256sum "$CDN_PEM" | awk '{print $1}')
if [[ -f "$CDN_PUB_HASH_FILE" && "$(cat $CDN_PUB_HASH_FILE)" == "$NEW_HASH" ]]; then
echo "$(date) - Certificate not changed, skipping CDN update."
exit 0
fi
echo "$(date) - Certificate changed, updating CDN ..."
for d in "${DOMAINS[@]}"; do
echo "Updating CDN certificate for $d ..."
aliyun cdn SetCdnDomainSSLCertificate \
--DomainName "$d" \
--CertType upload \
--SSLProtocol on \
--SSLPub "$(cat $CDN_PEM)" \
--SSLPri "$(cat $CDN_KEY)"
done
echo "$NEW_HASH" > "$CDN_PUB_HASH_FILE"
echo "$(date) - All done!"
} > "$LOG_FILE" 2>&1
这个脚本特点:
• 支持单域名和多域名。
• 自动生成 CDN PEM。
• 只有证书变化时才上传 CDN。
• 日志每天覆盖 /var/log/update_cdn_cert.log。
• 自动 reload nginx。
设置定时任务
每天检查证书更新(覆盖日志):
0 2 * * * /root/update_cdn_cert.sh
这样每天凌晨会自动检测和更新证书,如果证书快到期则续签并上传 CDN。