前言

说实话，在写这篇博文前我对acme脚本也只是停留在“小白”阶段，真正各种应用申请模式一窍不通。在网站域名续签SSL证书和科学上网搭建HTTPS安全通道时，学好acme脚本太重要了!本文以最全最简单通俗易懂的语言描述acme各种申请场景的应用，如果你只对一种最热门最简单快速申请感兴趣，可以直接点击“DNS API模式”应用。如果你希望系统学习,建议看完整篇文章领悟后再也不用到处谷歌了，文章对你有用，不妨点赞转发收藏。
申请条件：1，一级域名一个(如：yugogogogo.ml)；2：vps一台；
申请目标：多域名单证书，如：二级泛域名单证书(演示域名：*.yugogogogo.ml),即一个证书通用所有域下二级域名。

安装Acme.sh脚本

获取并安装的命令：

安装失败可能是vps没有安装curl,不会的朋友可以谷歌一下。
安装过程演示如下：

在生成证书之前，请先安装依赖程序socat,

生成证书

在生成证书前，需要验证域名所有权，一旦验证成功即可颁发证书，目前验证方式存在多样性，本文进行科学分类，便于大家理解记忆：

Web服务器验证

这种http验证需要在服务器上安装有Web服务，通常使用最多的是Apache,Nginx组件提供Web服务。
    1，若是Nginx服务器，http验证如下：（请把下面的mydomain.com更换为自己的域名再执行）

2，若是Apache服务器，http验证如下：（请把下面的mydomain.com更换为自己的域名再执行）

注意, 无论是 apache 还是 nginx 模式, acme.sh在完成验证之后, 会恢复到之前的状态, 都不会私自更改你本身的配置. 好处是你不用担心配置被搞坏, 也有一个缺点, 你需要自己配置 ssl 的配置, 否则只能成功生成证书, 你的网站还是无法访问https. 但是为了安全, 你还是自己手动改配置吧.
    3,若是其他web服务器，http 方式需要在你的网站根目录下放置一个文件, 来验证你的域名所有权,完成验证. 然后就可以生成证书了.http验证命令如下：（请把下面的mydomain.com更换为自己的域名再执行）

非Web服务器验证

DNS API模式

这是首选主流方式，理由：1，免安装Web服务验证；2，设置简单，3,到期自动续签。
      各主流DNS(CF,DNSPOD,CloudXNS,GoDaddy) API自动验证命令请点击此处浏览。
      这里使用最热门的CF平台演示：
设置代码如下：

安装过程演示如下：

以上就是整个成功获取SSL证书的信息，上面第第72，74行突亮行则显示证书和key存放路径位置。

DNS 手动模式

手动 dns 方式, 手动在域名上添加一条 txt 解析记录, 验证域名所有权。
警告：不能自动续签，证书到期依然手动申请，很麻烦，建议使用dns api模式申请，可以自动续签。
这里使用yugogogogo.ml为例演示.
第一步骤：

acme.sh会在本地vps为域名自动生成验证信息，如下图信息：

第二步骤：然后到CF平台DNS管理页面，在其yugogogogo.ml域名管理页面，（上图所示：从acme脚本获取TXT验证信息，复制粘贴到DNS添加解析记录相应位置，）
如果解析信息与本地acme.sh生成信息不一致或解析不成功，执行~/.acme.sh/acme.sh --renew -d yugogogogo.ml --yes-I-know-dns-manual-mode-enough-go-ahead-please就会出现下图报错信息，无法获取ssl证书：

所以，请务必保证配置解析记录信息与acme.sh生成的TXT信息一致。
这里附上DNS管理页面添加记录图示:

然后回到VPS终端，使用以下命令验证域名解析。（注意：复制粘贴命令前先修改为自己的域名）

安装过程演示如下：

以上就是整个成功获取SSL证书的信息，上面第8行，_acme-challenge.yugogogogo.ml的_acme-challenge需要设置到DNS记录的名称里，第9行的ZZzj7EM8pDjGRRB6ehgbZktqqBbbNav5jNwxS_0XVgU复制粘贴到DNS记录的内容里。而第59，61行突亮行则显示证书存放路径。
若你仍然申请失败，可以重复执行acme.sh --renew -d yugogogogo.ml --yes-I-know-dns-manual-mode-enough-go-ahead-please命令尝试获取直到成功。

独立模式

若你还没有运行任何web 服务, 并且80 端口是空闲的, 那么 acme.sh 还能假装自己是一个webserver, 临时听在80 端口, 完成验证:

安装证书

前面成功获取证书，接下来需要把证书 copy 到真正需要用它的地方.
注意：默认生成的证书都放在安装目录下: ~/.acme.sh/, 请不要直接使用此目录下的文件, 例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件. 这里面的文件都是内部使用, 而且目录结构可能会变化.
正确的使用方法是使用 –install-cert 命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:
Nginx example:

Apache example:

(温馨提醒, 这里用的是 service nginx force-reload, 不是 service nginx reload, 据测试, reload 并不会重新加载证书, 所以用的 force-reload)
Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer ，而非 /etc/nginx/ssl/.cer ，否则 SSL Labs 的测试会报 Chain issues Incomplete 错误。
–install-cert命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效.
详细参数请参考: https://github.com/Neilpang/acme.sh#3-install-the-issued-cert-to-apachenginx-etc
这里以Nginx为例演示安装命令：

过程演示：

自动更新脚本

查看证书有效期：

部署证书

部署证书顾名思义，将安装好的证书部署到需要用到的各项应用中，比如Nginx，就需要配置到Nginx配置信息SSL证书路径。太简单，网上太多我就不写了。

后记

误区一：acme.sh安装完毕具有证书到期自动续签功能，如果发现网站证书到期未更新，是因为网站服务器未及时加载有效证书文件。需要重新加载。Nginx重载命令：nginx -s reload Apache命令：apachectl -k graceful

查看SSL证书第三方平台：https://www.ssllabs.com/ssltest/analyze.html?d=www.yugogogogo.ml，复制把域名改成自己的。

acme脚本参数解释