现在网站基本都上了 HTTPS 证书

阿里云 SSL 产品日前发布公告，公告显示自 2023 年 11 月 14 日开始生效厂商策略，对于免费提供的 SSL 证书签发后证书有效期统一为 3 个月，不再免费提供 1 年版免费证书。想要 1 年的需要购买 68 块一年。终于 HTTPS 证书也开始收割了。有钱的可以去支持下，毕竟不能一直靠爱发电。

继而腾讯云等相关证书厂商也都更改了策略，一时间 HTTPS 证书哀嚎遍野。 腾讯云可以申请 1 年的的，但是数量只有 10 个。

之前是免费 1 年的，数量也够用，也就懒得折腾了。到期再换，本来也想看证书自动续期的方案，正好借此机会研究下。

使用 acme.sh 自动签发 ZeroSSL 的 ECC 证书

安装 acme.sh

1. 先安装好 curl，然后执行脚本：

curl https://get.acme.sh | sh

国内服务器使用
git clone https://gitee.com/neilpang/acme.sh.git

执行命令

cd acme.sh
./acme.sh --install -m my@email.com

请注意替换 my@email.com 为你自己的邮箱,方便证书到期或者签发等结果通知。

安装完成后重新加载 Bash：

source ~/.bashrc

然后开启自动更新：

acme.sh --upgrade --auto-upgrade

目前 acme.sh 支持 5 个正式环境 CA，分别是

• Let's Encrypt

• Buypass

• ZeroSSL

• SSL.com

• Google Public CA，

默认使用 ZeroSSL，如果需要更换可以使用如下命令：

切换 Let's Encrypt
acme.sh --set-default-ca --server letsencrypt
切换 Buypass
acme.sh --set-default-ca --server buypass
切换 ZeroSSL
acme.sh --set-default-ca --server zerossl
切换 SSL.com
acme.sh --set-default-ca --server ssl.com
切换 Google Public CA
acme.sh --set-default-ca --server google

配置 zerossl 的泛域名证书

如果没有 zerossl 账户也是可以生成的，但是建议注册个账户方便以后通过 api 管理你申请的证书。

注册后进入 developer 界面

如图上面是 API key，下面是 EAB

将 acme.sh 的注册服务器改为 ZeroSSL

acme.sh --register-account --server zerossl \
        --eab-kid xxxxxxxxxxxx  \
        --eab-hmac-key xxxxxxxxx

获取 eab-kid 和 eab-hmac-key

• 方式 1 通过 API Key 获取

curl -s -X POST "https://api.zerossl.com/acme/eab-credentials?access_key=c3xxxxxx"
{
"success": true,
"eab_kid": "EWxxxxxxxx",
"eab_hmac_key": "KPeQJxxxxxxxxx"
}

• 方式 2 直接生成 eab

保存后执行上面的命令 将 acme.sh 的注册服务器改为 ZeroSSL，然后返回注册成功信息

使用 Dns Api 注册正式

可以申请泛域名证书。 比如 *.abc.com 可以自动检测更新。

有多种方式可以申请证书，但是 如果使用泛域名，只能使用 DNS API 模式，且会自动更新，推荐这种方式：

为了保证安全 创建一个用户 单独申请 DNS 管理权限

1. 打开 RAM 访问控制-->身份管理-->创建用户”，输入 用户名、备注; 选择 OpenAPI 调用访问 启用 AccessKey ID 和 AccessKey Secret， 支持通过 API 或其他开发工具访问

点击右边的“添加权限”按钮，打开授权窗口。

有了 key 和 secret 然后执行命令创建

# 先添加阿里云Aliyun的DNS api密钥到临时环境变量
export Ali_Key="AccessKeyId"
export Ali_Secret="AccessKeySecret"

执行注册命令 （可以进行单域名、多域名、泛域名进行颁发。）

# 上面的临时变量，在添加证书后，会保存在account.conf中，后续不需要再指定
acme.sh --issue --dns dns_ali -d abc.com -d *.abc.com --keylength ec-256

#查看命令帮助
acme.sh -h

--dns 指定 DNS 服务商，dns_dp 代表 DNSPod，还有 dns_cf 代表 CloudFlare，更多的字段见 https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

-d *.abc.com 表示签发泛域名证书 如果 shell 工具不行视情况加*转义

--keylength ec-256 表示签发 ECC 证书，不添加则签发 RSA 证书，可选参数还有 ec-384 和 ec-521

这里会进行域名的 DNS 验证，中间会等待 若干 秒来验证正确性，验证成功后会有成功标记。

成功后会显示证书目录信息

腾讯云 同理。

export DP_Id="API Token 的 ID"
export DP_Key="API Token"

acme.sh --issue --dns dns_dp -d abc.com -d *.abc.com --keylength ec-256

要停止续签某域名的话，手动执行 然后删除证书目录

acme.sh --remove -d abc.com

其他

ECC 证书：ECC 证书是基于 ECC 算法的 SSL 证书，ECC 证书中文名称为椭圆加密算法，新一代算法趋势主流，一般采用 256 位加密长度，加密速度快，效率更高，对服务器资源消耗低，而且最重要的是更安全，抗攻击型更强。

RSA 证书：RSA 证书是基于 RSA 算法的 SSL 证书，RSA 算法是国际标准算法，应用较早，最为普及，比 ECC 算法的适用范围更广，兼容性更好，一般采用 2048 位的加密长度，但是对服务端性能消耗高。

acme 的 github 地址(https://github.com/acmesh-official/acme.sh?tab=readme-ov-file)

---

欢迎关注，后面会有一些资源可以免费获取哟~

分享前后端编程经验，技术干货，技术方案，好的资源，工具，提高开发效率。