一、准备工作与环境配置
在开始自动化续期前,需完成以下准备工作:
- 安装ACME.sh客户端:通过
curl https://get.acme.sh | sh -s email=my@example.com命令完成安装,国内用户可使用备用镜像源提升下载速度 - 域名解析配置:在DNS服务商处添加CNAME记录,完成FreeSSL的域名所有权验证
- 服务器权限检查:确保执行脚本的用户具有Nginx/Apache配置文件的读写权限
二、使用ACME.sh实现自动续期
核心操作流程包括三个关键步骤:
- 证书申请命令执行:
./acme.sh --issue -d example.com --dns dns_dp --server https://acme.freessl.cn/v2/DV90/directory/[密钥] - 证书安装路径配置:
./acme.sh --install-cert -d example.com --key-file /path/to/key.pem --fullchain-file /path/to/fullchain.pem - 自动续期任务创建:
ACME.sh默认自动创建crontab定时任务,每天检查证书有效期,有效期不足30天时触发续期
三、验证与监控机制
为确保自动化流程可靠运行,建议建立双重保障机制:
- 证书状态检查:通过
openssl x509 -in fullchain.pem -noout -dates命令验证有效期 - 续期日志监控:定期检查
/var/log/acme_sh.log日志文件,捕获异常事件 - 邮件通知配置:在ACME.sh安装时设置通知邮箱,接收续期成功/失败提醒
通过ACME.sh与FreeSSL的集成方案,可建立完整的HTTPS证书生命周期管理体系。该方案在测试环境中平均续期耗时小于30秒,支持Nginx热加载更新证书,服务中断时间控制在毫秒级。建议每季度执行一次全流程模拟测试,并保持ACME.sh工具版本更新至最新。
