acmd.sh 自动申请并部署证书
操作时间:2026.2.5
acmd.sh版本: v3.1.3
Linux登录用户:root
域名托管机构: CloudFlare
安装acmd.sh
curl https://get.acme.sh | sh
会默认安装到 ~/.acme.sh 目录下,当前登录用户为root,所以后续直接用绝对路径 /root/.acme.sh 表示
安装成功之后,会自动在系统的crontab里增加一条定时任务,可以通过 crontab -l 查看。
# 会生成一个每天随机时间执行的定时任务,用于自动判断并续期证书
6 7 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
切换证书颁发机构
主动切换证书颁发机构为 Let's Encrypt 。现在的版本默认为 ZeroSSL——需要注册账号才能用
/root/.acme.sh/acme.sh --set-default-ca --server letsencrypt# 或者
~/.acme.sh/acme.sh --set-default-ca --server letsencrypt
配置DNS的token
Let's Encrypt 需要判断你对申请证书的域名拥有控制权,提供了多个验证方案,其中验证DNS是比较简单的。
需要提前配置CloudFlare的api权限信息,需要ApiToken 和 账号ID,
可以追加到 ~/.bashrc ,然后执行 source ~/.bashrc ,或者另起一个文件,之后再执行source命令。
# 配置 CloudFlare 用于自动获取ssl证书
export CF_Token="xxxxx"
export CF_Account_ID="xxxxx"
手动申请证书
Let's Encrypt 支持生成通配符域名证书
/root/.acme.sh/acme.sh --issue \--dns dns_cf \-d my-domain.com -d *.my-domain.com# 或者生成单域名证书
/root/.acme.sh/acme.sh --issue \--dns dns_cf \-d api.my-domain.com
生成的证书会默认存放在 /root/.acme.sh/ 内
acme.sh 生成一次证书之后,会将配置的 CloudFlare token存储到 ~/.acme.sh/account.conf 内
手动安装证书
/root/.acme.sh/acme.sh --install-cert -d my-domain.com -d *.my-domain.com \--cert-file /data/nginx/cert/my-domain.com_auto_install.cer \--key-file /data/nginx/cert/my-domain.com_auto_install.key \--reloadcmd "docker exec nginx nginx -s reload"# --cert-file 是将生成的证书复制到当前路径
# --key-file 是将生成的证书密钥复制到当前路径
# --reloadcmd 是重启服务器的命令
测试续期证书
/root/.acme.sh/acme.sh --renew -d my-domain.com --force
执行完以上步骤都没有问题,那就可以放心了,因为定时任务已经添加了
查看/删除定时任务
acme.sh 的任务列表/证书列表
# 会列出所有证书,及下次续期的时间 ——会在证书过期前一个月主动续期
/root/.acme.sh/acme.sh --list# 删除更新证书的任务 (但是不会删除证书文件,删除任务成功后,会提示证书文件的保存地址,可以手动删除)
/root/.acme.sh/acme.sh --remove -d my-domain.com# 可以一次性删除多个
/root/.acme.sh/acme.sh --remove -d my-domain.com -d xxx.com
卸载 acme.sh
# 卸载 acme.sh 命令,并删除 crontab 定时任务 (但是不会删除 /root/.acme.sh/ 文件夹,需要手动删除)
/root/.acme.sh/acme.sh --uninstall