Win-ACME证书续订问题排查与解决方案

问题背景

在使用Win-ACME（原letsencrypt-win-simple）进行IIS证书续订时，用户遇到了续订进程卡在"Send GET to https://acme-v02.api.letsencrypt.org/directory"阶段的问题。通过命令行执行续订命令后，进程长时间无响应，最终需要手动终止。

问题分析

从日志分析，该问题表现为客户端无法成功连接到Let's Encrypt的ACME服务器。具体表现为HTTP GET请求发送后无响应，超时后仍未建立连接。这种情况通常与网络连接配置有关，特别是代理设置问题。

解决方案

经过排查，确认问题根源在于Win-ACME的代理自动检测机制。在特定网络环境下，自动检测可能导致连接超时。解决方案如下：

1. 禁用代理自动检测：修改Win-ACME的配置文件settings.json，在"Proxy"部分设置：

   "Proxy": {
       "Url": null
   }
   

   注意：null值不应加引号。

2. 验证连接：修改配置后重新运行续订命令，确认能够正常连接到ACME服务器。

证书有效期说明

在解决连接问题后，用户还提出了关于证书有效期设置的疑问。需要特别说明的是：

1. Let's Encrypt目前仅颁发90天有效期的证书，这是CA的策略限制，不受客户端配置影响。

2. Win-ACME中的"RenewalDays"参数用于控制续订提前时间（默认为55天），而非证书有效期。这意味着系统会在证书到期前55天开始尝试续订。

3. 续订任务会每天运行检查，但只会在设置的提前天数内（如55天）实际执行续订操作。

最佳实践建议

1. 对于网络环境复杂的部署，建议明确配置代理设置或直接禁用代理检测。

2. 定期检查续订日志，确保自动化续订流程正常运行。

3. 了解所用CA的证书策略，合理设置续订提前时间，确保证书不会意外过期。

4. 对于关键业务系统，建议设置证书过期监控作为额外保障。

通过以上措施，可以确保Win-ACME在Windows服务器上稳定可靠地管理Let's Encrypt证书的自动化续订工作。