安裝acme.sh做自動續簽SSL憑證 (更換為Google Public CA)

安裝acme.sh做自動續簽SSL憑證 (更換為Google Public CA)

1.到Google網站，建立 專案 (projects)，並記住它的專案ID

https://console.cloud.google.com/home/dashboard

2.進入Cloud Shell 終端機

執行以下指令

gcloud projects add-iam-policy-binding 你的專案ID \

--member=user:你的電子郵件位址 \

--role=roles/publicca.externalAccountKeyCreator

2.启用 Public CA API
gcloud services enable publicca.googleapis.com



3.要求 EAB 密鑰 和 HMAC 雜湊式訊息驗證碼，請執行下列指令：
gcloud publicca external-account-keys create


將顯示訊息
Created an external account key
[b64MacKey: XXXXXXXXXXXXXX
keyId: XXXXXXXXXXXXXXXXXXXXX]

這邊記下 b64MacKey 與 keyId，等一下要用到

這個指令會傳回在 Public CA 的正式版環境中有效的 EAB 密碼。在回應主體中，keyId 欄位包含 EAB 金鑰 ID，b64MacKey 欄位則包含 EAB HMAC。
您必須在取得 EAB 密鑰後的 7 天內使用。
如果未在 7 天內使用 EAB 密鑰，該密鑰就會失效。
使用 EAB 密鑰註冊的 ACME 帳戶不會過期。

還原為實際工作環境的端點，請執行下列指令

如果你不是使用Google雲主機做論壇，在此就準備關掉瀏覽器Cloud Shell此頁面

gcloud config unset api_endpoint_overrides/publicca

產生dhparam.pem
mkdir -p /etc/nginx/ssl

openssl dhparam -dsaparam -out /etc/nginx/ssl/dhparam.pem 2048



-------------------------------------
acme.sh 預設安裝在/root/ 目錄
-------------------------------------

安裝acme.sh
curl https://get.acme.sh | sh -s email=你的email


安裝完，將顯示訊息
bash has been found. Changing the shebang to use bash as preferred.
OK
Install success!



重新載入
source ~/.bashrc


自動更新
acme.sh --upgrade --auto-upgrade


將顯示訊息
Already up to date!
Upgrade successful!


切換為使用Google Public CA
acme.sh --set-default-ca --server google



使用HTTP驗證，頒發SSL憑證
mkdir -p /var/www/google


修改 域名.com.conf
vi /etc/nginx/sites-available/域名.com.conf


前面的步驟有寫了幾行，現在刪掉，並更改為


server {
	listen 80;
	listen [::]:80;
    server_name 域名.com;

	location /.well-known/acme-challenge {
		root /var/www/google;
	}

	location / {
		rewrite	^/(.*)$ https://$host/$1 permanent;
	}
}



ESC儲存並離開
:wq



重新載入Nginx
nginx -t


nginx -s reload







在acme.sh註冊帳號

acme.sh --register-account -m email --server google \

--eab-kid 輸入你的keyId \

--eab-hmac-key 輸入你的b64MacKey



正確的話，顯示如下
Account key creation OK.
Registering account: https://dv.acme-v02.api.pki.goog/directory
Registered
ACCOUNT_THUMBPRINT='xxxxxxxxxxx'





開始頒發SSL憑證

acme.sh --issue --ecc -d 域名.com -w /var/www/google



完成將顯示
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----




它是 chain / ca-bundle  (這個還沒確認)

vi /etc/nginx/ssl/chain.cer

將這個內容複製並貼上，然後儲存離開

-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----




完成將顯示，這是ECC憑證
Your cert is in: /root/.acme.sh/域名.com_ecc/域名.com.cer
Your cert key is in: /root/.acme.sh/域名.com_ecc/域名.com.key
The intermediate CA cert is in: /root/.acme.sh/域名.com_ecc/ca.cer
And the full-chain cert is in: /root/.acme.sh/域名.com_ecc/fullchain.cer



安裝ECC憑證，而一般ECC憑證的有效期是60天就到期

acme.sh --install-cert --ecc -d 域名.com \


依次敲入

--key-file /etc/nginx/ssl/域名.com.key \

--fullchain-file /etc/nginx/ssl/fullchain.cer \

--reloadcmd "systemctl reload nginx"



成功的話，將顯示
Installing key to: /etc/nginx/ssl/域名.com.key
Installing full chain to: /etc/nginx/ssl/fullchain.cer
Running reload cmd: systemctl reload nginx
Reload successful


查詢SSL憑證何時到期
acme.sh --list


可得知SSL憑證到期日，一般會自動續簽

Main_Domain     KeyLength  SAN_Domains  Profile  CA    Created           Renew

域名.com	"ec-256"     no             Google.com     2025-12-18        2026-02-15

本帖最后于1小时前1小时，由Jack编辑