利用 Let’s Encrypt 的 ACME 协议在服务器上申请、管理 SSL 证书

1. 下载安装

   curl  https://get.acme.sh | sh

2. 验证

   • http (需要在网站根目录下放置一个文件, 来验证你的域名所有权, 完成验证)

     acme.sh --issue -d mydomain.com -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/

   • apache

     acme.sh --issue -d mydomain.com --apache

   • nginx

     acme.sh --issue -d mydomain.com --nginx

   • 无服务器，临时监听80端口，生成证书

     acme.sh --issue -d mydomain.com --standalone

   • DNS（域名上添加txt解析记录, 验证域名所有权）

     acme.sh --issue --dns -d mydomain.com

     acme.sh 目前支持 cloudflare, dnspod, cloudxns, godaddy 以及 ovh 等数十种解析商提供的 api 自动添加 txt 记录完成验证

     export DP_Id="1234"
     export DP_Key="sADDsdasdgdsf"
     acme.sh --issue --dns dns_dp -d mydomain.com -d www.mydomain.com

3. 安装证书

   默认生成的证书都放在安装目录下: ~/.acme.sh/

   acme.sh --installcert -d mydomain.com \
   --key-file /etc/nginx/ssl/mydomain.key \
   --fullchain-file /etc/nginx/ssl/mydonain.cer \
   --reloadcmd "service nginx force-reload"

4. 更新acme.sh

   #手动升级
   acme.sh --upgrade
   #自动升级
   acme.sh --upgrade --auto-upgrade
   #关闭自动升级
   acme.sh --upgrade --auto-upgrade 0

1.生成 RSA 证书

acme.sh --issue -d www.example.com -w /var/www/ssl/

2.生成 ECC 证书

acme.sh --issue -d www.example.com -w /var/www/ssl/ --keylength ec-256

ECC证书：ECC证书是基于ECC算法的SSL证书，ECC证书中文名称为椭圆加密算法，新一代算法趋势主流，一般采用 256 位加密长度，加密速度快，效率更高，对服务器资源消耗低，而且最重要的是更安全，抗攻击型更强。
RSA证书：RSA证书是基于RSA算法的SSL证书，RSA算法是国际标准算法，应用较早，最为普及，比ECC算法的适用范围更广，兼容性更好，一般采用 2048 位的加密长度，但是对服务端性能消耗高。

3.安装 ECC 证书

acme.sh --installcert -d www.example.com   \
        --key-file   /ssl/www.example.com.key \
        --fullchain-file /ssl/www.example.com.crt \
        --reloadcmd  "systemctl reload nginx" --ecc

4.更新SSL证书

acme.sh --renew -d www.example.com --ecc --force

5.取消SSL证书的自动续期

acme.sh --remove -d www.example.com --ecc