acme.sh实现Apache证书自动续期的配置详解

在Linux服务器运维中，使用Let's Encrypt证书为网站提供HTTPS服务已成为标准实践。acme.sh作为一款优秀的证书管理工具，其自动化能力可以显著降低运维复杂度。本文将以CentOS系统下的Apache(httpd)为例，详细解析如何通过acme.sh实现证书的自动签发与续期。

核心配置原理

acme.sh通过两条关键命令即可建立完整的证书生命周期管理体系：

1. 证书签发命令

acme.sh --issue -d abc.com -w /home/abc

该命令通过webroot验证方式申请证书，将临时验证文件写入指定目录/home/abc。此过程需要确保：

• 域名已正确解析到服务器
• Apache已配置好对应域名的webroot访问权限
• 防火墙开放80端口（HTTP验证需要）

2. 证书安装命令

acme.sh --install-cert -d abc.com \
        --cert-file /etc/httpd/ssl/abc.com/cert.pem \
        --key-file /etc/httpd/ssl/abc.com/key.pem \
        --fullchain-file /etc/httpd/ssl/abc.com/fullchain.pem \
        --reloadcmd "service httpd force-reload"

此命令实现三个核心功能：

• 将证书文件部署到指定路径
• 自动创建cron定时任务（默认每天检查续期）
• 设置证书更新后的服务重载命令

自动化续期机制

acme.sh内置的智能续期系统具有以下特点：

1. 60天续期策略
   Let's Encrypt证书有效期90天，acme.sh默认在证书剩余30天时自动续期（即60天触发续期）

2. 无缝更新流程
   续期时会自动：

• 获取新证书
• 更新证书文件（cert.pem/key.pem/fullchain.pem）
• 执行预设的service httpd force-reload命令

3. 错误处理机制
   若续期失败会自动重试，并通过cronjob持续监控证书状态

进阶配置建议

1. 证书存储目录权限
   建议设置：

chmod 750 /etc/httpd/ssl/abc.com
chown root:apache /etc/httpd/ssl/abc.com/*

2. 验证日志监控
   可通过以下命令查看续期日志：

journalctl -u crond | grep acme.sh

3. 多域名支持
   如需支持多个子域名，可使用：

acme.sh --issue -d abc.com -d www.abc.com -d api.abc.com ...

常见问题排查

若自动续期失效，建议检查：

1. cron服务是否正常运行
2. Apache是否能够读取证书文件
3. 磁盘空间是否充足
4. 通过acme.sh --list查看证书状态

通过以上配置，管理员即可实现Apache服务的证书全自动管理，大幅提升运维效率的同时确保HTTPS服务的持续可用性。