随着 Google 推进90天证书步伐的加快，业内纷纷针对 “SSL证书有效期缩短至90天” 提出倡议，TrustAsia开始响应此倡议，因此基于TrustAsia提供免费证书的云服务商提供的免费证书有效期也逐步从1年缩短为90天。

90天的有效期，确实比较短，再加上如果你有不止一个域名证书需要维护，那么维护工作的确会变得棘手。另外，有可能还会忘记续签，总不至于设置闹钟来提醒吧。因此，我也开始加入到证书部署自动化中来了😊。

今天，我使用acme.sh开源脚本工具，基于Let's Encrypt提供商，实现了证书自动续期。简单记录一下过程：

安装acme.sh

curl https://get.acme.sh | sh -s email=my@example.com

在Github上有详细的教程，这里就不赘述了。

配置环境变量

由于续签证书需要验证域名所有权，因此，需要对域名进行验证，例如常见的DNS解析验证。

因此，需要设置域名注册商的api访问权限以备acme脚本可以自动调用。我的两个域名先后注册在阿里云和腾讯云上，所以需要设置这两个供应商的api访问密钥。
首先需要创建一个子账户（为了账号安全，强烈建议使用子账户），然后对该子账户开放DNS解析控制权限。之后将对应的key和secret配置到环境变量文件~/.acme.sh/acme.sh.env中。

• 阿里云

export Ali_Key="xxx"
export Ali_Secret="xxx"

• 腾讯云

export Tencent_SecretId="xxx"
export Tencent_SecretKey="xxx"

设置acme.sh默认的证书服务商

我这里设置的是 letsencrypt

acme.sh --set-default-ca --server letsencrypt

执行证书颁发命令

我这里设置的是通配符证书

# 阿里云
acme.sh --issue --dns dns_ali -d *.keepchen.com -w /workspace/nginx/ssl_files/acme

# 腾讯云
acme.sh --issue --dns dns_tencent -d *.xxx.com -w /workspace/nginx/ssl_files/acme

命令执行之后，证书文件会被保存到指定目录下：

/home/<账号名>/.acme.sh/*.keepchen.com_ecc

修改代理服务器配置

我这里是nginx

ssl_certificate /home/<账号名>/.acme.sh/*.keepchen.com_ecc/fullchain.cer;
ssl_certificate_key /home/<账号名>/.acme.sh/*.keepchen.com_ecc/*.keepchen.com.key;

校验配置和证书是否正确：

sudo nginx -t

重启nginx让证书生效：

sudo service nginx restart  
# 也可以使用平滑重启：  
sudo nginx -s reload

从浏览器查看证书：

设置计划任务自动续签

我这里使用Linux Crontab

将上面用到的命令统一编写到一个shell脚本中，然后配置crontab：

# 每月1号晚上23:30执行
30 23 1 * * sh /workspace/nginx/acme-shell/auto-renew-ssl.sh >> /dev/null

收工

---