SSL 证书验证原理与 acme.sh 实践

发表于 2026-01-20 更新于 2026-01-22 分类于 3-计算机系统， http 阅读次数： Waline：本文字数： 3k 阅读时长 ≈ 3 分钟

1. 核心概念：acme.sh Standalone 模式

在众多 SSL 证书申请方式中，Standalone 模式因其中立性和便捷性而备受推崇。该模式的核心在于不依赖现有的 Web 服务器（如 Nginx 或 Apache），而是由 acme.sh 自身临时启动一个微型服务器来完成验证。

1	acme.sh --issue --standalone -d dev.liuvv.com

1.1 工作原理

Standalone 模式的执行流程如下：

临时接管：acme.sh 占用服务器的 80 端口。
模拟响应：启动一个临时的 Web Server，准备好 CA 机构（如 Let’s Encrypt）所需的验证文件。
完成验证：CA 机构访问该端口进行验证。
自动清理：验证完成后，立即关闭临时服务并释放端口。

这可以类比为：为了通过房屋检查，你搭建了一个临时的 “ 样板房 “（占用 80 端口），检查人员看完后，你立刻将其拆除。

%%{init: {'theme': 'base', 'themeVariables': {'actorBkg': '#4F46E5', 'actorTextColor': '#fff', 'actorBorder': '#3730A3', 'signalColor': '#6366F1', 'activationBkgColor': '#E0E7FF', 'activationBorderColor': '#4F46E5'}}}%%
sequenceDiagram
    autonumber
    participant Client as "acme.sh 客户端"
    participant Server as "临时 Web Server"
    participant CA as "CA 机构 (Let's Encrypt)"

    Client->>CA: 1. 发起证书申请 (域名信息)
    CA-->>Client: 2. 返回 Challenge Token
    Client->>Server: 3. 启动监听 80 端口
    Note over Server: 暴露 /.well-known/... 资源
    CA->>Server: 4. HTTP 请求验证文件
    Server-->>CA: 5. 返回 Token 内容
    CA-->>Client: 6. 验证成功，下发证书
    Client->>Server: 7. 关闭服务，释放端口

2. 验证机制对比：HTTP Vs DNS

SSL 证书的颁发基于域名所有权验证 (Domain Validation)。目前主流的自动化验证方式主要有两种：HTTP-01 和 DNS-01。

2.1 HTTP 验证（HTTP-01）

Standalone 模式即属于此类。

机制：CA 机构通过互联网直接访问 http://<your-domain>/.well-known/acme-challenge/<token>。
条件：域名的 A 记录必须解析到当前服务器，且 80 端口 必须可被公网访问。
形象比喻：快递员上门查验。CA 机构（快递员）按照地址（域名）找到你的房子（服务器），确认门牌号（文件内容）无误。

2.2 DNS 验证（DNS-01）

机制：在域名的 DNS 解析记录中添加一条特定的 TXT 记录（如 _acme-challenge.liuvv.com）。
条件：需要拥有 DNS 解析管理权限（通常通过 API 自动化）。
适用场景：
- 泛域名证书（Wildcard Certificate，如 *.liuvv.com）：必须使用 DNS 验证。
- 服务器处于内网或 80 端口被封锁。
形象比喻：公告栏留言。你告诉 CA：” 我不在家，但我在村口公告栏（DNS 服务器）上贴了张条子，你自己去看。” CA 无需访问你的服务器，只需查询全球 DNS 记录。

2.3 如何选择？

%%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#4F46E5', 'primaryTextColor': '#fff', 'primaryBorderColor': '#3730A3', 'lineColor': '#6366F1', 'secondaryColor': '#10B981', 'tertiaryColor': '#F59E0B'}}}%%
flowchart TD
    Start("开始证书申请") --> IsWildcard{"申请泛域名证书?\n(*.example.com)"}
    
    IsWildcard -->|"是"| DNS["DNS-01 验证\n(配置 DNS TXT 记录)"]
    IsWildcard -->|"否"| Port80{"80 端口空闲?"}
    
    Port80 -->|"是 (无服务占用)"| Standalone["Standalone 模式\n(最简单快捷)"]
    Port80 -->|"否 (已有 Nginx/Apache)"| Webroot["Webroot/Nginx 模式\n(利用现有服务)"]
    
    Webroot --> End("完成申请")
    Standalone --> End
    DNS --> End

    classDef primary fill:#4F46E5,stroke:#3730A3,color:#fff
    classDef success fill:#10B981,stroke:#059669,color:#fff
    classDef warning fill:#F59E0B,stroke:#D97706,color:#fff

    class Start,End primary
    class DNS,Standalone,Webroot success
    class IsWildcard,Port80 warning

3. 自动化续期管理

对于多域名或不想折腾命令行的场景，推荐使用更现代化的证书管理工具。

Certimate: 一个开源的 SSL 证书自动化管理工具，支持自动申请、部署到 CDN/负载均衡器，并监控证书有效期。
- 项目地址：https://github.com/certimate-go/certimate

通过工具化管理，可以规避手动续期（Renew）可能出现的漏续问题，确保 HTTPS 服务的高可用性。