在 HTTPS 已成標配的今天,SSL/TLS 證書的管理卻依然是很多團隊的痛點:申請、上傳、續期、驗證,一步出錯,可能導致整站訪問異常。過去,我們已經介紹過兩種常見做法:使用 Let’s Encrypt 自動簽發證書,或在 Edge 控制檯手動上傳 SSL 證書。本文將介紹一種新的證書管理方式,即透過 OpenResty Edge 的 ACME 模組實現證書管理。

申請試用 OpenResty Edge

ACME 模組是甚麼?

在現代網站架構中,SSL/TLS 證書的申請、更新與管理,是保障業務安全的重要一環。但對運維團隊而言,這一過程往往既繁瑣又容易出錯。

OpenResty Edge 中,ACME(Automatic Certificate Management Environment)模組實現了 ACME 協議的核心能力,支援自動化證書管理與簽發,幫助使用者以更靈活、安全的方式管理大規模站點的證書生命週期。

該模組的主要功能包括:

  • 證書申請與自動更新:透過 ACME 協議全流程自動化完成證書申請、驗證、續簽。
  • 域名所有權驗證:支援 HTTP-01 與 DNS-01 兩種驗證方式。
  • 與 ACME 伺服器的互動與任務排程:統一管理證書籤發任務,自動重試與輪詢更新。
  • 證書儲存、查詢與釋出:Edge 平臺內建證書儲存與分發機制,無需額外客戶端。

為甚麼需要 ACME 模組

在過去,OpenResty Edge 使用者通常透過兩種方式配置 SSL/TLS 證書:手動上傳證書,或使用 Let’s Encrypt(LE)自動簽發。這兩種方式的侷限性在於:

  • Let’s Encrypt 速率限制:單賬號或單域名簽發頻率受限;
  • 證書來源單一:無法滿足多 issuer 或企業內部 CA 的需求;
  • 管理複雜:多租戶、多域名場景下證書更新容易出錯。

透過 ACME 模組管理證書可以:

  • 突破 LE 限制:支援多個 issuer 與多賬號配置,輕鬆應對簽發頻率限制。
  • 靈活的 CA 選擇:除 Let’s Encrypt 外,還可選擇 ZeroSSL、Buypass,或自建 ACME 服務。
  • 一體化管理:在 Edge 平臺統一檢視、分發與更新證書,減少運維負擔。

ACME 模組的使用方法

首先在全域性配置頁面的證書籤發商中,新增證書籤發商資訊。

Screenshot

然後在應用的 SSL 頁面,選擇為整個應用授予一個全域性證書,或者透過點選新增證書按鈕為應用新增一個特定的 SSL 證書。

Screenshot

點選新增證書按鈕後,使用符合 ACME 協議的其他證書發行者生成證書。

Screenshot

您也可以使用其他 ACME 發行商自動簽發證書。簽發證書前,請確保您的域名 DNS 已正確解析並指向您的 Edge Node 閘道器伺服器。

Screenshot

您也可以如何為同一域名配置多個 ACME 證書,具體的流程步驟請參考:應用內證書

如果您想透過其他方式上傳證書,可以參考:

  1. 使用 Let’s Encrypt 客戶端自動簽發證書
  2. 在 Edge 控制檯手動上傳 SSL 證書

最佳實踐與常見問題

Q1. 支援萬用字元證書嗎?

支援,透過 DNS-01 驗證方式實現。

Q2. 與手動上傳證書能否共存?

可以,ACME 模組可與手動證書共同管理,不影響現有部署。

Q3. 更新失敗怎麼辦?

ACME 模組具備重試與回滾機制,可手動觸發重新申請。

關於 OpenResty Edge

OpenResty Edge 是一款專為微服務和分散式流量架構設計的全能型閘道器軟體,由我們自主研發。它集流量管理、私有 CDN 構建、API 閘道器、安全防護等功能於一體,幫助您輕鬆構建、管理和保護現代應用程式。OpenResty Edge 擁有業界領先的效能和可擴充套件性,能夠滿足高併發、高負載場景下的苛刻需求。它支援排程 K8s 等容器應用流量,並可管理海量域名,輕鬆滿足大型網站和複雜應用的需求。

申請試用 OpenResty Edge

如果你喜歡這個教程,請訂閱這個部落格網站和我們的 B 站頻道。謝謝!

關於作者

章亦春是開源 OpenResty® 專案創始人兼 OpenResty Inc. 公司 CEO 和創始人。

章亦春(Github ID: agentzh),生於中國江蘇,現定居美國灣區。他是中國早期開源技術和文化的倡導者和領軍人物,曾供職於多家國際知名的高科技企業,如 Cloudflare、雅虎、阿里巴巴, 是 “邊緣計算“、”動態追蹤 “和 “機器程式設計 “的先驅,擁有超過 22 年的程式設計及 16 年的開源經驗。作為擁有超過 4000 萬全球域名使用者的開源專案的領導者。他基於其 OpenResty® 開源專案打造的高科技企業 OpenResty Inc. 位於美國矽谷中心。其主打的兩個產品 OpenResty XRay(利用動態追蹤技術的非侵入式的故障剖析和排除工具)和 OpenResty Edge(最適合微服務和分散式流量的全能型閘道器軟體),廣受全球眾多上市及大型企業青睞。在 OpenResty 以外,章亦春為多個開源專案貢獻了累計超過百萬行程式碼,其中包括,Linux 核心、Nginx、LuaJITGDBSystemTapLLVM、Perl 等,並編寫過 60 多個開源軟體庫。

關注我們

如果您喜歡本文,歡迎關注我們 OpenResty Inc. 公司的部落格網站 。也歡迎掃碼關注我們的微信公眾號:

我們的微信公眾號

翻譯

我們提供了英文版原文和中譯版(本文)。我們也歡迎讀者提供其他語言的翻譯版本,只要是全文翻譯不帶省略,我們都將會考慮採用,非常感謝!