acme.sh 从HTTP-01验证切换到DNS-01验证的完整指南

acme.sh作为一款优秀的ACME协议客户端，支持多种域名验证方式。在实际使用过程中，很多用户会遇到需要从HTTP-01验证方式切换到DNS-01验证方式的需求，特别是在架构变更（如增加负载均衡器）的情况下。本文将详细介绍如何正确完成这一转换。

验证方式切换的基本原理

acme.sh在首次为域名签发证书时会记录使用的验证方式，并在后续续期时沿用相同方式。当需要切换验证方式时，简单的重新签发命令可能无法覆盖原有配置，这是因为：

1. acme.sh会将验证方式信息存储在配置目录中
2. 某些情况下旧配置可能被优先读取
3. 缓存机制可能导致新配置未被正确应用

正确的切换步骤

1. 首先检查当前配置 执行以下命令查看域名当前的验证配置：

   acme.sh --info -d yourdomain.com
   

2. 使用DNS方式重新签发证书 执行完整的DNS验证签发命令，例如使用CDN服务商API：

   acme.sh --issue -d example.com --dns dns_cf \
   --key-file /path/to/key.pem \
   --fullchain-file /path/to/fullchain.pem
   

3. 强制更新配置 如果发现配置未更新，可以尝试：

   acme.sh --remove -d yourdomain.com
   

   然后重新签发

常见问题解决方案

1. 配置未更新问题

   • 确保使用了正确的API凭据
   • 检查是否有多个acme.sh实例在运行
   • 确认配置文件权限正确

2. 避免触发速率限制

   • 在测试阶段可以使用Let's Encrypt的staging环境
   • 添加--staging参数进行测试

3. 验证方式优先级 acme.sh会按照以下顺序处理验证方式：

   • 命令行指定参数
   • 已保存的配置
   • 默认配置

最佳实践建议

1. 在架构变更前规划好证书验证方式
2. 使用--debug 2参数调试问题
3. 定期检查证书配置信息
4. 保持acme.sh版本更新

通过以上方法，用户可以顺利完成从HTTP-01到DNS-01验证方式的切换，确保证书签发和续期的顺利进行。