使用acme.sh为多DNS提供商签发SAN证书的技术指南

概述

acme.sh作为一款功能强大的ACME协议客户端，支持为多个域名签发包含主题备用名称(SAN)的SSL/TLS证书。在实际生产环境中，我们经常会遇到需要为不同DNS提供商托管的域名签发同一张证书的情况。本文将详细介绍如何利用acme.sh实现这一需求。

多DNS提供商SAN证书签发原理

SAN证书允许在一张证书中包含多个域名，这些域名可以分布在不同的DNS提供商处。acme.sh通过以下机制支持这种复杂场景：

1. 支持多种DNS API验证方式
2. 允许为每个域名单独指定DNS提供商和认证信息
3. 支持混合模式验证

具体实现步骤

1. 准备DNS API凭证

首先需要为每个DNS提供商获取API访问凭证。以cPanel为例：

# 为第一个cPanel域名设置API凭证
export cPanel_Username="user1"
export cPanel_Apitoken="token1"

# 为第二个cPanel域名设置API凭证
export cPanel_Username="user2"
export cPanel_Apitoken="token2"

2. 签发SAN证书

使用混合模式签发证书，为每个域名指定对应的DNS提供商：

acme.sh --issue \
  -d example1.com -d example2.com \
  --dns dns_cpanel \
  --dnssleep 60

3. 配置多个DNS提供商

如果域名分布在不同的DNS提供商处，可以使用以下方式：

acme.sh --issue \
  -d example1.com --dns dns_cpanel \
  -d example2.com --dns dns_cf \
  --dnssleep 60

注意事项

1. 确保每个DNS提供商的API凭证正确无误
2. 注意DNS记录的传播时间，适当设置--dnssleep参数
3. 对于cPanel等需要用户名和token的提供商，确保为每个域名单独配置
4. 使用--debug 2参数可以获取详细的调试信息

高级配置

对于更复杂的场景，可以创建自定义hook脚本，为每个域名实现特定的验证逻辑。这种方式提供了最大的灵活性，可以处理几乎所有的DNS验证需求。

常见问题解决

如果遇到凭证被覆盖的问题，可以：

1. 检查acme.sh版本是否为最新
2. 确认凭证是否被正确保存在account.conf文件中
3. 考虑使用环境变量临时覆盖配置

通过以上方法，可以轻松实现为多个DNS提供商托管的域名签发同一张SAN证书的需求。