之前一直使用 acme-tiny 执行自动续签letsencrypt SSL证书；最近脚本续签的时候报错；“letsencrypt.org cert error” 总是续签不上；应该是letsencrypt 的CA发生了更新。导致网站证书过期

从letsencrypt官方网站上找好用的实现了acme协议并能自动续签的客户端；官方推荐Certbot，但是Certbot需要安装其他依赖包，有点麻烦

找了下其他客户端，acme.sh有中文文档，使用步骤看上去也比较简单，直接按照acme.sh 中文文档的步骤执行就行。

acme.sh  --issue -d abc.com --webroot /var/www/abc/public
acme.sh  --issue -d xyz.com -d other.xyz.com --webroot /var/www/xyz/public

crontab -e可以发现acme.sh 自动添加了每日续期的脚本

16 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步，可以直接开启自动更新

acme.sh  --upgrade  --auto-upgrade

多域名多webroot的问题

之前多个域名配置acme-tiny，在nginx里面统一对/.well-known/acme-challenge/路径进行了处理

# global/verify-acme.conf
location /.well-known/acme-challenge/ {
    alias /var/www/acme-tiny-challenges/;
    try_files $uri =404;
}

使用acme.sh后，由于命令行指定域名和对应的webroot，所以要么把ng里面对/.well-known/acme-challenge/的处理移除，要么在acme.sh的命令行里面将所有域名的webroot指定为同一个，然后ng中配置对应的路径

为了方便，我们将全部域名的验证使用同一个路径 /var/www/acme-tiny-challenges/；这样所有域名也能使用同一个证书；安装证书的时候也更方便

acme.sh会在--webroot指定的路径下创建.well-known/acme-challenge 来对应acme协议里面对应的/.well-known/acme-challenge/ location，因此我们需要将nginx里面的location进行更改

# global/verify-acme.conf
location /.well-known/acme-challenge/ {
    alias /var/www/acme-tiny-challenges/.well-known/acme-challenge/;
    try_files $uri =404;
}

这样所有域名用同一个命令生成同一个证书即可：

# acme.sh 命令
acme.sh  --issue -d abc.com -d xyz.com -d iiiii.com  --webroot /var/www/acme-tiny-challenges

安装证书到指定位置

# -d指定一个域名即可，所有域名用的是同一套证书文件
acme.sh --install-cert -d abc.com --key-file /var/www/acme-tiny-challenges/domain.key --fullchain-file /var/www/acme-tiny-challenges/chained.pem --reloadcmd "service nginx force-reload"

所有域名配置使用同一个证书，统一配置：

  # global/acme-sh-ssl.conf
  ssl on;
  ssl_certificate /var/www/acme-tiny-challenges/chained.pem;
  ssl_certificate_key /var/www/acme-tiny-challenges/domain.key;
  ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
  ssl_session_timeout 1d;
  ssl_session_cache shared:SSL:50m;

域名配置实例：

server {
        listen      80;
        listen [::]:80;

        server_name abc.com
        root        /var/www/abc/public;
        ...
        include global/verify-acme.conf;
        include global/acme-sh-ssl.conf
    }