https://yezihack.github.io/tags/cloudflare/Recent content in Cloudflare on 空树之空Hugo -- gohugo.ioen-usWed, 17 Jun 2026 10:55:12 +0800https://yezihack.github.io/posts/acme.sh/Wed, 17 Jun 2026 10:55:12 +0800https://yezihack.github.io/posts/acme.sh/1. 快速导航 本文分为两个部分： 第一部分：泛域名证书（*.example.com）的完整申请流程，适合需要一张证书覆盖所有子域名的场景 第二部分：单个域名证书的申请方法，对比 DNS-01 和 HTTP-01 两种验证方式的选择指南 为什么选 acme.sh？ CentOS 7 已 EOL，certbot 依赖繁重，acme.sh 是纯 shell 实现，零依赖、轻量、支持所有主流 DNS 服务商的 API 自动化。 2. 第一部分：泛域名证书申请与自动续期 2.1. 场景说明 适用于这类情况： 一个根域名（如 example.com）底下有多个子域名（zipic.example.com、api.example.com 等） 不想给每个子域名单独申请一张证书 希望一张泛域名证书 *.example.com 搞定所有现有和未来的子域名 需要证书到期后完全自动续期，不需要人工干预 2.2. 第一步：安装 acme.sh curl https://get.acme.sh | sh -s email=your@email.com source ~/.bashrc acme.sh --set-default-ca --server letsencrypt 最后一行很关键——acme.sh 新版本默认 CA 是 ZeroSSL，手动切回 Let’s Encrypt，避免后面验证流程对不上。 2.3. 第二步：泛域名证书为什么必须用 DNS 验证 泛域名（*.example.com）只能用 DNS-01 方式验证，无法用 HTTP-01。原因很简单：HTTP-01 验证的是某一个具体子域名指向的服务器上有没有放对应文件，但泛域名涵盖的是无限多个子域名，CA 没法用 HTTP 方式逐一验证，只能让你在 DNS 里加一条 TXT 记录证明你对整个域名拥有控制权。