ACME

ACME

可自动续期的证书。IETF 标准 TLS 自动化。

SSL.com 支持 ACME 协议(RFC 8555)——这是全自动加密的行业标准机制。 TLS 证书的签发、续期和撤销。随着证书有效期被限制在200天以内且还在不断缩短,ACME自动化正从一种便利措施转变为一种必需品。

开始使用 ACME 查看 ACME 文档

自动证书颁发和续期标准

ACME(自动化证书管理环境) 是 IETF 标准(RFC 8555),它允许与 ACME 兼容的客户端自动请求、验证、颁发、续订和撤销。 TLS 从具备 ACME 功能的 CA 颁发证书——初始设置后无需人工干预。

ACME 协议支持大规模自动化证书生命周期管理。它定义了 ACME 客户端与 CA 之间的握手过程——包括域名验证、证书签名和续订——从而使整个流程可以无人值守运行。

SSL.com 是一个完全兼容 ACME 协议的 CA。任何 ACME 客户端——包括 Certbot、ACME.sh、win-acme、Caddy、Traefik 以及数百种其他客户端——都可以使用 SSL.com 作为其 CA 端点,自动颁发和续订证书。如今,ACME 证书颁发涵盖了 DV(域名验证) 证书; 通过 ACME 发行 OV 和 EV 即将上线 — 请参阅下面的目录网址和路线图。

ACME为何日益重要

⚠ 证书有效期上下文: 自2026年3月11日起生效,最高 TLS 证书有效期为 为期200天苹果公司已提议减少对……的投入 为期47天已获得 CA/B 论坛的批准。

最长寿命200天
  • 拥有100份证书的团队每年大约面临183次续期活动。
  • 以这种频率进行手动续费会造成停电风险。
  • 缺乏自动化的运营团队已经面临着巨大的压力。
最长寿命为 47 天(提议)
  • 同一支拥有100个证书的团队每年要面对约777次证书续期活动。
  • 人工管理在操作上变得不可能
  • ACME自动化成为大规模应用的唯一可行方案

SSL.com 目前支持 ACME 协议。只需配置一次,即可在您的基础设施生命周期内自动续订。

关键能力

自动签发

ACME 客户端会自动从 SSL.com 申请证书,无需任何门户交互。证书会在 ACME 握手完成后几秒钟内颁发。

自动续订

证书在到期前自动续期,无需人工干预——只需配置一次,即可无限期运行。支持 200 天和未来 47 天的证书有效期。

自动撤销

不再需要证书时,可以通过颁发证书的同一个 ACME 客户端自动撤销证书。

HTTP-01 挑战

域名控制通过放置在知名 URL 的文件进行验证。适用于大多数单域名和 SAN 场景。不支持通配符。

DNS-01 挑战

通过 DNS TXT 记录验证域名控制权。通配符证书需要此功能;无需访问 HTTP 服务器即可进行验证。可在防火墙后正常工作。

无速率限制

SSL.com 对 ACME 没有颁发速率限制——无论您管理数十万还是数十万个证书,都可以根据您的需要进行扩展而不会受到限制。

多域支持

ACME 订单可以包含多个主题备用名称 (SAN) — 自动颁发和续订多域证书。

验证等级

DV 现已可通过 ACME 发行。OV 和 EV 也将通过 ACME 发行——即将推出。请联系 SSL.com 获取优先访问权限。

支持的 ACME 客户

Certbot

最广泛使用的 ACME 客户端。原生支持 Linux 和 macOS,拥有丰富的 DNS-01 提供商插件生态系统,并在许多 Linux 发行版中预配置。

ACME.sh

轻量级 shell 脚本 ACME 客户端 — 适用于 150 多个 DNS 提供商的 DNS-01 插件,包括 Route 53、Cloudflare、Google Cloud DNS、Azure DNS 和所有主要注册商 API。

赢取acme

适用于 Windows 主机环境的 Windows 原生 ACME 客户端,具有完整的 IIS 集成、计划任务自动化和 GUI 配置功能。

Caddy & Traefik

内置 ACME 支持的现代反向代理。将 SSL.com 配置为您的 CA 端点, TLS 每个路线和服务都会自动处理。

证书管理器(K8s)

标准的 Kubernetes 证书管理器。以声明式方式创建证书资源,处理每个 Ingress 的 ACME 流,并在不重启 Pod 的情况下轮换证书。

SSL.com ACME 目录 URL(DV — 今日可用):

https://acme.ssl.com/sslcom-dv/directory

🚧 即将推出 — OV 和 EV 通过 ACME 平台: 用于 OV 和 EV 颁发的专用目录端点正在开发中。您现有的 ACME 客户端无需任何协议层面的更改即可与新端点兼容。请联系 SSL.com 获取早期访问权限和具体时间安排。

如何开始

1

创建 SSL.com 帐户

在 ssl.com 注册——免费,证书颁发前无需付款。

2

生成 ACME 凭证

在您的 SSL.com 控制面板中创建 ACME 帐户凭据。

3

配置您的 ACME 客户端

在您的 ACME 客户端(Certbot、ACME.sh、win-acme、Caddy 等)中将 SSL.com 设置为 CA。

4

颁发您的第一张证书

运行您的 ACME 客户端——它将自动请求、验证和接收证书。

5

日程续期

配置您的 ACME 客户端自动运行(通过 cron 或 systemd)——续订无需进一步干预即可完成。

挑战类型

HTTP-01
基于文件的验证

ACME客户端将令牌文件放置在 http://yourdomain.com/.well-known/acme-challenge/TOKEN.

使用情况: 您的服务器可通过 80 端口公开访问。支持单域名证书和 SAN 证书。不支持通配符证书。

DNS-01
DNS记录验证

ACME客户端创建了一个 _acme-challenge.yourdomain.com DNS TXT 记录。

使用情况: 您的 DNS 提供商支持以编程方式创建 TXT 记录。这是使用通配符证书的必要条件。无需访问 HTTP 服务器即可工作。

常见问题

ACME 是一种协议,使用它本身是免费的。您仍然需要像往常一样付费购买 SSL.com 证书;ACME 只是用于自动申请和续订证书的机制。
是的,使用 DNS-01 验证。您的 DNS 提供商必须支持以编程方式创建 TXT 记录。大多数主流 DNS 提供商都提供用于 DNS-01 的 ACME 客户端插件。
SSL.com 目前支持通过 ACME 颁发 DV(域名验证)证书。OV(组织验证)和 EV(扩展验证)证书也将很快通过 ACME 颁发。在此期间,OV 和 EV 证书可通过 SSL.com 门户和 API 颁发。如需了解具体时间表或提前体验机会,请联系 SSL.com。
大多数 ACME 客户端都包含重试逻辑和警报功能。SSL.com 也会通过您的帐户发送到期通知。对于生产环境,请配置警报,以便在自动续订失败时通知您的团队。
ACME 颁发新证书,但不会自动迁移现有的手动颁发的证书。您可以通过设置 ACME 客户端并允许其颁发替换证书来过渡到由 ACME 管理的证书。
不——ACME 是协议;CLM(证书生命周期管理)是指从证书发现到吊销的整个证书管理流程。ACME 是 CLM 中证书颁发和续订部分的自动化引擎。有关完整的生命周期管理概览,请参阅 CLM 页面。

相关产品及功能

CLM

更广泛的证书生命周期管理实践——使用 ACME 实现证书颁发和续期自动化。包含 Venafi 和 Keyfactor 集成。
了解更多

SSL Manager

一款基于图形用户界面的 Windows 桌面应用程序,用于订购和管理 SSL.com 证书。它是 ACME 的补充,适用于需要同时实现自动化和手动工作流程的团队。
了解更多

单个域 TLS/SSL

最常见的自动化方式是通过 ACME HTTP-01 挑战——这是单个主机名最简单的部署路径。
了解更多

通配符 TLS/SSL

通过 ACME DNS-01 挑战自动验证——由于 HTTP-01 无法验证通配符覆盖范围,因此需要 DNS-01。
了解更多

多域 TLS/SSL

支持多 SAN ACME 订单——在一个自动化工作流程中颁发和续订涵盖数十个不同域的证书。
了解更多
SSL.com

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。

参加调查
隐私概述
SSL.com

本网站使用Cookie,以便我们可以为您提供最佳的用户体验。 Cookie信息存储在您的浏览器中,并执行诸如在您返回我们的网站时识别您的身份以及帮助我​​们的团队了解您发现网站中最有趣和有用的部分之类的功能。

欲了解更多信息,请阅读我们的 Cookie和隐私声明.

3rd方Cookie

本网站使用 Google Analytics & 统计计数器 收集匿名信息,例如网站的访问者数量和最受欢迎的页面。

保持启用这些Cookie有助于我们改善网站。

查看详细
专利所有者  GDPR Cookie遵从性