acme.sh 使用 ZeroSSL 签发证书时 Stateless 模式问题分析

问题背景

在使用 acme.sh 工具通过 ZeroSSL 签发 SSL 证书时，用户报告了一个关于 Stateless 模式的问题。具体表现为：当使用 Let's Encrypt 时一切正常，但切换到 ZeroSSL 后出现域名密钥错误。

问题现象

用户按照标准流程操作：

1. 首先使用 Let's Encrypt 成功注册账户并获取证书
2. 配置 Web 服务器响应挑战请求
3. 切换到 ZeroSSL 后，虽然更新了服务器响应以包含新的账户指纹，但仍遇到域名密钥错误

错误日志显示挑战状态为"invalid"，提示无法获取域令牌。

技术分析

Stateless 模式工作原理

Stateless 模式是 acme.sh 提供的一种无需本地存储挑战文件的证书获取方式。其核心原理是：

1. 客户端向 CA 发起证书申请
2. CA 返回挑战信息
3. 客户端需要将这些挑战信息通过外部方式（如手动配置）提供给验证服务器
4. CA 通过 HTTP 或 DNS 方式验证域名的控制权

ZeroSSL 与 Let's Encrypt 的差异

虽然两者都实现了 ACME 协议，但在实际使用中存在一些细微差别：

1. 默认验证方式可能不同 - ZeroSSL 有时会优先尝试 DNS 验证
2. 错误处理机制不同
3. 服务器响应要求可能有细微差异

解决方案

经过分析，这个问题有两种可能的解决途径：

1. 显式指定 CA 服务器：在命令中明确使用 --server letsencrypt 参数，强制使用 Let's Encrypt 服务

2. 等待 ZeroSSL 服务恢复：根据项目维护者的反馈，这可能是 ZeroSSL 服务的临时性问题，稍后重试可能解决

最佳实践建议

对于需要使用 Stateless 模式的用户，建议：

1. 明确指定 CA 服务器参数，避免默认选择带来的不确定性
2. 确保 Web 服务器正确响应所有可能的挑战类型（HTTP-01 和 DNS-01）
3. 在切换 CA 提供商时，检查并更新所有相关的验证配置
4. 遇到问题时查看详细的调试日志（使用 --debug 2 参数）

总结

acme.sh 的 Stateless 模式为自动化证书管理提供了便利，但在不同 CA 提供商间的行为可能存在差异。理解这些差异并采取明确的配置策略，可以避免类似问题的发生。对于关键业务系统，建议选择稳定可靠的 CA 服务，并在变更时进行充分测试。