### 使用 acme.sh 在 Linux 上生成适合中国环境的 SSL/TLS 证书 #### 安装 acme.sh 为了在 Linux 环境中使用 `acme.sh` 来获取 SSL/TLS 证书,首先需要安装该工具。可以通过以下命令来完成安装: ```bash curl https://get.acme.sh | sh ``` 这会自动下载并配置好 `acme.sh` 工具。 #### 配置 DNS API 接口 对于中国大陆用户而言,通常会选择阿里云作为域名服务提供商。因此,在申请证书前需先设置好相应的 DNS API 接口以便验证域名所有权。具体操作如下所示: ```bash export Ali_Key="your_ali_key" export Ali_Secret="your_ali_secret" ``` 这里的 `Ali_Key` 和 `Ali_Secret` 是指从阿里云账户获得的访问密钥信息。 #### 请求新的 SSL 证书 当完成了上述准备工作之后就可以正式向 Let's Encrypt 发起请求以获取所需的 SSL 证书了。下面是一个简单的例子展示如何为单个域名申请通配符类型的证书: ```bash acme.sh --issue --dns dns_ali -d *.example.com ``` 此命令将会通过阿里云提供的 DNS 解析接口来进行域名验证,并最终得到一张有效期为90天的标准 X.509 数字证书[^1]。 #### 自动化续期机制 考虑到所颁发出来的每张证书都有固定的生命周期(通常是三个月),所以建议开启自动化更新功能以免过期造成不必要的麻烦。可以利用系统的定时任务计划程序 Cron 实现这一目标: ```bash sudo crontab -e ``` 接着加入一行类似于这样的条目用于每天凌晨两点钟执行一次检查工作: ```cron 0 2 * * * "/home/user/.acme.sh/acme.sh" --cron --home "/home/user/.acme.sh" > /dev/null ``` 这样就能确保即使管理员忘记手动处理也能保持网站始终处于安全连接状态之下[^2]。
