阿里云免費(fèi) SSL 證書（如由 DigiCert、Let's Encrypt 提供） 默認(rèn)不會自動續(xù)簽，你需要通過 腳本或 ACME 工具 實(shí)現(xiàn)自動續(xù)簽 + 自動部署到 Web 服務(wù)（如 Nginx）。

以下是兩種常見場景的自動續(xù)簽方案：
?場景一：使用阿里云 云產(chǎn)品（如CDN/負(fù)載均衡） 的免費(fèi)證書自動續(xù)簽
阿里云控制臺中，綁定云產(chǎn)品的免費(fèi)證書（非下載使用）會 自動續(xù)簽，你無需處理。
?? 但如果你是手動下載證書，部署到本地服務(wù)器（如Nginx/Tomcat），則 不會自動續(xù)簽。

? 場景二：自托管 Nginx/Web 服務(wù)，需要自動續(xù)簽阿里云的免費(fèi)域名證書
阿里云提供的免費(fèi)證書（如 DigiCert 提供的 DV 證書），不能通過腳本自動續(xù)簽。推薦方式是用 Let’s Encrypt 的免費(fèi)證書，結(jié)合 DNS 驗證實(shí)現(xiàn)全自動續(xù)簽。

?? 推薦使用 acme.sh + 阿里云 DNS 自動續(xù)簽證書
步驟一：安裝 acme.sh 工具

curl https://get.acme.sh | sh
source ~/.bashrc

步驟二：配置阿里云 API 密鑰（用作 DNS 驗證）
進(jìn)入阿里云控制臺申請訪問密鑰（AccessKey ID & Secret）：
建議使用 RAM 子賬號并最小權(quán)限。

export Ali_Key="你的AccessKeyID"
export Ali_Secret="你的AccessKeySecret"

步驟三：配置EAB（External Account Binding）憑據(jù)
步驟 1??：注冊 ZeroSSL 賬戶（免費(fèi)）
進(jìn)入 https://zerossl.com 注冊賬號。

步驟 2??：獲取 EAB 憑據(jù)
登錄后訪問：
?? https://app.zerossl.com/developer
在“External Account Binding (EAB)”部分點(diǎn)擊【Create EAB Credentials】，會生成：

• Key ID
• HMAC Key
  
  image.png

image.png

步驟 3??：配置 acme.sh 使用 ZeroSSL 和 EAB

export EAB_KID="你剛剛獲取的 Key ID"
export EAB_HMAC_KEY="你剛剛獲取的 HMAC Key"

acme.sh --register-account --server zerossl  --eab-kid "$EAB_KID" --eab-hmac-key "$EAB_HMAC_KEY"

步驟四：簽發(fā)證書（使用阿里云 DNS 驗證）

acme.sh --issue --dns dns_ali -d yourdomain.com

image.png

使用 dns_ali 插件自動創(chuàng)建 DNS 解析記錄用于驗證。
或者切換回 Let’s Encrypt（不需要 EAB）：

acme.sh --set-default-ca --server letsencrypt

Nginx 配置：
ssl_certificate yourdomain.com.cer
ssl_certificate_key yourdomain.com.key

步驟五：安裝證書（部署到 Nginx 等）

acme.sh --install-cert -d yourdomain.com \
--key-file       /etc/nginx/ssl/yourdomain.key \
--fullchain-file /etc/nginx/ssl/yourdomain.crt \
--reloadcmd     "systemctl reload nginx"

步驟六：設(shè)置自動續(xù)簽
acme.sh 默認(rèn)會自動續(xù)簽每個證書，每天運(yùn)行一次 cron job（不需手動設(shè)置）。

?? 檢查是否續(xù)簽成功

acme.sh --list

查看證書狀態(tài)與到期時間。

?? 可選：強(qiáng)制立即續(xù)簽測試

acme.sh --renew -d yourdomain.com --force

?? 總結(jié)