当前位置：首页 > article >正文

手把手教你用acme.sh申请Google免费SSL证书（含Cloudflare DNS验证）

article 2026/3/22 11:01:35

从零开始使用acme.sh获取Google免费SSL证书全攻略在当今互联网环境中SSL证书已成为网站安全的基础配置。对于个人开发者和小型企业而言获取可靠且免费的SSL证书解决方案至关重要。本文将详细介绍如何利用acme.sh这一轻量级工具结合Google Public CA服务为您的网站获取完全免费的SSL证书特别针对Cloudflare DNS验证场景提供详细操作指南。1. 准备工作与环境配置在开始申请证书之前我们需要完成一些必要的准备工作。首先确保您拥有以下资源一个有效的Google Cloud Platform(GCP)账号已注册的域名及Cloudflare DNS管理权限具备SSH访问权限的Linux服务器推荐Ubuntu 20.04关键工具安装# 安装必备工具 sudo apt update sudo apt install -y curl git对于acme.sh的安装我们推荐使用以下命令# 安装acme.sh curl https://get.acme.sh | sh source ~/.bashrc注意如果系统提示命令未找到请检查是否已正确加载环境变量或尝试重新登录SSH会话。2. 获取Google Public CA API权限Google Public CA要求使用External Account Binding(EAB)进行身份验证。以下是获取EAB密钥的详细步骤登录GCP控制台导航至API库页面搜索并启用Public Certificate Authority API在Cloud Shell中执行以下命令# 设置GCP项目替换为您的项目ID gcloud config set project YOUR_PROJECT_ID # 创建EAB密钥 gcloud publicca external-account-keys create命令执行后将返回类似以下格式的信息Created an external account key [b64MacKey: xxxxxxxxxxxxxxxxxxxxxxx keyId: xxxxxxxxxxxxxxx]请妥善保存这些信息它们将在后续步骤中使用。重要提示EAB密钥的有效期仅为7天务必在获取后尽快使用。3. Cloudflare API配置最佳实践使用Cloudflare DNS验证方式申请证书需要配置API访问权限。我们推荐采用最小权限原则登录Cloudflare控制台进入我的个人资料→API令牌点击创建令牌选择编辑区域DNS模板限制令牌权限仅适用于特定域名可选添加IP限制以增强安全性获取API令牌后在服务器上设置环境变量export CF_Tokenyour_api_token_here export CF_Account_IDyour_account_id export CF_Zone_IDyour_zone_id安全提示建议将这些敏感信息存储在安全位置或使用.env文件管理避免直接在命令行历史中暴露。4. 证书申请与签发全流程4.1 注册ACME账户使用之前获取的EAB信息注册ACME账户acme.sh --register-account -m youremail.com \ --server google \ --eab-kid your_key_id \ --eab-hmac-key your_b64MacKey若遇到连接问题可尝试指定完整服务器地址acme.sh --register-account -m youremail.com \ --server https://dv.acme-v02.api.pki.goog/directory \ --eab-kid your_key_id \ --eab-hmac-key your_b64MacKey4.2 设置默认CA并签发证书将Google Public CA设为默认颁发机构acme.sh --set-default-ca --server google现在可以申请证书了。我们提供RSA和ECC两种密钥类型的签发命令RSA证书兼容性更好acme.sh --issue --dns dns_cf \ -d example.com \ -d *.example.com \ --keylength 2048ECC证书安全性更高acme.sh --issue --dns dns_cf \ -d example.com \ -d *.example.com \ --keylength ec-2565. 证书安装与自动化管理5.1 Nginx证书安装将签发好的证书安装到Nginx配置目录# RSA证书安装 acme.sh --install-cert -d example.com \ --key-file /etc/nginx/ssl/private.key \ --fullchain-file /etc/nginx/ssl/fullchain.pem \ --reloadcmd systemctl reload nginx # ECC证书安装 acme.sh --install-cert -d example.com --ecc \ --key-file /etc/nginx/ssl/ecc_private.key \ --fullchain-file /etc/nginx/ssl/ecc_fullchain.pem \ --reloadcmd systemctl reload nginx5.2 自动续期配置acme.sh默认会自动创建cron任务处理证书续期。您可以通过以下命令检查crontab -l | grep acme.sh如需手动强制续期acme.sh --renew -d example.com --force6. 常见问题排查指南在实际操作中可能会遇到以下典型问题问题1acme.sh: command not found解决方案执行source ~/.bashrc或重新登录SSH会话问题2DNS记录验证失败检查Cloudflare API权限是否足够确认环境变量(CF_Token等)设置正确等待DNS传播有时需要几分钟问题3证书签发后浏览器仍显示不安全确认Nginx配置正确引用了证书路径检查证书链是否完整使用SSL检测工具如SSL Labs进行诊断问题4EAB密钥过期解决方案重新生成EAB密钥并重新注册ACME账户7. 进阶配置与优化建议7.1 多域名证书管理对于需要管理多个域名的情况可以创建脚本批量处理#!/bin/bash DOMAINS(example.com example2.com example3.com) for domain in ${DOMAINS[]}; do acme.sh --issue --dns dns_cf -d $domain -d *.$domain --keylength ec-256 acme.sh --install-cert -d $domain --ecc \ --key-file /etc/nginx/ssl/${domain}/ecc_private.key \ --fullchain-file /etc/nginx/ssl/${domain}/ecc_fullchain.pem \ --reloadcmd systemctl reload nginx done7.2 证书备份策略建议定期备份证书和私钥# 创建备份目录 mkdir -p ~/ssl_backups/$(date %Y%m%d) # 备份证书文件 cp -r /etc/nginx/ssl ~/ssl_backups/$(date %Y%m%d) # 可选加密备份 tar -czvf - ~/ssl_backups/$(date %Y%m%d) | gpg -c ssl_backup_$(date %Y%m%d).tar.gz.gpg7.3 性能优化配置对于高流量网站考虑以下Nginx优化参数ssl_session_cache shared:SSL:10m; ssl_session_timeout 1d; ssl_session_tickets off; ssl_buffer_size 4k; ssl_early_data on;在实际项目中我发现ECC证书相比RSA证书不仅能提供更好的安全性还能显著减少TLS握手时间。特别是在移动设备上这种性能差异更为明显。一个常见的误区是认为ECC证书兼容性差但根据我的实测现代浏览器和操作系统几乎都已支持ECC算法。

手把手教你用acme.sh申请Google免费SSL证书（含Cloudflare DNS验证）

相关文章：

手把手教你用acme.sh申请Google免费SSL证书（含Cloudflare DNS验证）

别再只懂systemd了！手把手教你用D-Bus守护进程实现Linux服务间通信

LVGL特殊符号全解析：从基础调用到高级组合应用

PTA数据结构题库实战：从顺序表到二叉树，这些高频考点你掌握了吗？

协同过滤算法在民宿推荐系统中的应用：从理论到代码实现

多种方法帮助传输文件到Google Cloud虚拟机

Kaptcha验证码的进阶玩法：自定义样式、Redis存储与分布式场景下的解决方案

WinEdt与LaTeX高效排版实战：从零基础到科技论文撰写

Ansys ACT实战：用IronPython脚本5分钟实现自定义载荷添加（附代码）

从20秒到1秒：我是如何用zsh-profiler揪出拖慢终端的罪魁祸首

Cartographer实战：如何用官方数据集快速验证你的安装是否正确

深度学习项目训练环境一文详解：torch25环境切换、workspace目录结构与路径规范

GNN与Transformer融合新突破！模型性能飙升实战解析

Webtoon-Downloader：漫画批量下载利器轻松获取网络漫画资源

Qwen3.5-9B部署教程：Qwen3.5-9B在华为云ModelArts平台的全流程部署与性能压测

ESP32+W6100以太网Web服务器库：兼容Arduino WebServer API

构建企业级AI中台：以Granite TimeSeries为例的统一模型服务化管理

3个高效方法：用py4DSTEM实现4D-STEM数据实战分析

计算机网络分层架构与嵌入式协议栈工程实践

Linux块设备I/O调度器选型指南：NOOP、DEADLINE、CFQ深度对比

解决Win10共享文件夹访问被拒绝的5个常见问题及修复方法

嵌入式Linux中pthread条件变量的正确用法与工程实践

匿名上位机隐藏技巧：用自定义协议显示FOC马鞍波形的5个关键步骤

别再给主线程塞私活了！requestIdleCallback 让你优雅“偷懒”

AP_DCC_Library：面向模型铁路的跨平台DCC附件解码库

用Pico W做个智能小玩意：从选型到代码，避开无线连接的3个大坑

从CNN到Transformer：SegFormer的轻量级MLP解码器，为何比DeepLabV3+的ASPP更香？

实战分享：用Aspose.Words 21.8在.NET6中实现Word转PDF（附破解激活码）

家用路由器NAT配置实战：5分钟搞定内网穿透与端口映射

大疆TapFly vs 智能跟随：哪种自动飞行模式更适合你的航拍需求？