acme.sh 项目实现 Proxmox Backup Server 证书自动部署指南

背景介绍

acme.sh 是一个广泛使用的 ACME 协议客户端，用于自动化获取和管理 Let's Encrypt 证书。该项目支持多种证书部署方式，包括对 Proxmox VE 虚拟化环境的原生支持。随着 Proxmox Backup Server(PBS)的普及，用户对 PBS 证书自动化管理的需求日益增长。

Proxmox Backup Server 证书管理特点

Proxmox Backup Server 作为 Proxmox 生态中的专用备份解决方案，其证书管理与 Proxmox VE 存在一些关键差异：

1. 默认端口：PBS 使用 8007 端口而非 PVE 的 8006
2. 认证机制：PBS 采用 API Token 认证而非用户名/密码
3. 权限模型：需要创建具有 Sys.Modify 权限的 API Token
4. API 端点：证书更新路径与 PVE 类似但响应格式不同
5. 参数类型：使用布尔值 true/false 而非数字 0/1

技术实现要点

API 认证配置

在 PBS 中配置 API Token 需要以下步骤：

1. 登录 PBS 管理界面
2. 进入"数据中心"→"权限"→"API Token"
3. 创建新 Token，选择 Admin 角色（包含 Sys.Modify 权限）
4. 记录 Token ID 和 Secret

证书更新 API 调用

PBS 证书更新 API 需要以下参数：

• 节点名称（PBS 实例显示名称）
• PEM 格式的证书链
• 私钥内容
• 重启服务标志
• 强制更新标志

请求示例：

{
  "certificates": "-----BEGIN CERTIFICATE-----...",
  "key": "-----BEGIN RSA PRIVATE KEY-----...",
  "node":"pbs",
  "restart": true,
  "force": true
}

使用指南

1. 确保已安装最新版 acme.sh
2. 执行升级命令：acme.sh --upgrade
3. 使用 PBS 专用部署钩子脚本
4. 配置必要的环境变量（API Token 等）

注意事项

1. 证书更新后 PBS 服务会自动重启
2. 建议在低峰期执行证书更新操作
3. 保留旧证书备份以防更新失败
4. 监控证书更新日志确保操作成功

通过 acme.sh 的 PBS 支持，用户可以轻松实现证书的自动化管理，大大简化了 PBS 的 HTTPS 证书维护工作。