acme.sh 使用华为云DNS插件时遇到的HTTP 400错误解析

在使用acme.sh工具配合华为云DNS插件(dns_huaweicloud)申请SSL证书时，部分用户可能会遇到HTTP 400错误。本文将深入分析这一问题的成因，并提供解决方案。

问题现象

当执行acme.sh命令配合dns_huaweicloud插件申请证书时，日志中会出现"dns_huaweicloud: http code 400"的错误提示。这表明华为云DNS API拒绝了请求，但未给出具体原因。

根本原因分析

经过技术分析，这个问题通常由以下两种情况导致：

1. 记录类型冲突：华为云DNS不允许直接修改已存在的记录类型。例如，如果域名的_acme-challenge记录已经是CNAME类型，而acme.sh尝试将其修改为TXT类型，就会触发400错误。

2. 记录状态异常：华为云DNS中存在"暂停解析"状态的记录，这类记录无法直接修改或删除，但会阻止新记录的创建。

解决方案

方案一：手动处理冲突记录

1. 登录华为云DNS控制台
2. 查找目标域名下的_acme-challenge记录
3. 检查记录类型是否为CNAME或处于暂停状态
4. 删除或启用这些记录后再尝试重新申请证书

方案二：修改dns_huaweicloud插件脚本

对于无法删除的暂停记录，可以修改插件脚本使其适应这种情况：

1. 在脚本中添加对记录状态的检查逻辑
2. 针对暂停状态的记录采取特殊处理
3. 确保在修改记录前检查记录类型是否匹配

最佳实践建议

1. 定期清理旧记录：在证书续期完成后，及时清理不再使用的_acme-challenge记录。

2. 使用专用子域：为证书申请创建专用子域(如_acme.example.com)，避免与业务记录冲突。

3. 检查API权限：确保华为云API账号具有足够的DNS修改权限。

4. 调试模式运行：遇到问题时使用--debug 2参数获取详细日志。

技术细节

华为云DNS API对记录修改有以下限制：

• 不允许直接修改记录类型
• 暂停状态的记录无法直接操作
• TTL值有特定范围限制(1-86400秒)

acme.sh的dns_huaweicloud插件需要正确处理这些限制条件，才能确保证书申请流程顺利完成。

通过理解这些技术细节，用户可以更好地诊断和解决在使用acme.sh与华为云DNS集成时遇到的问题。