在 HTTPS 已成標配的今天,SSL/TLS 證書的管理卻依然是很多團隊的痛點:申請、上傳、續期、驗證,一步出錯,可能導致整站訪問異常。過去,我們已經介紹過兩種常見做法:使用 Let’s Encrypt 自動簽發證書,或在 Edge 控制檯手動上傳 SSL 證書。本文將介紹一種新方式,即在 OpenResty Edge 中透過 ACME 協議實現證書管理。其實,OpenResty Edge 一直支援 ACME 協議,可對接 Google Trust Services、ZeroSSL、DigiCert、Sectigo 等各類 CA 廠商(透過 EAB 擴充套件),這意味著您可以一鍵配置,實現包括萬用字元和多域名證書在內的自動簽發和更新,告別申請、上傳、續期的繁瑣操作。

申請試用 OpenResty Edge

ACME 協議是甚麼?

在現代網站架構中,SSL/TLS 證書的申請、更新與管理,是保障業務安全的重要一環。但對運維團隊而言,這一過程往往既繁瑣又容易出錯。

OpenResty Edge 實現了 ACME 協議的核心能力,支援自動化證書管理與簽發,幫助使用者以更靈活、安全的方式管理大規模站點的證書生命週期。您可以透過 OpenResty Edge 實現:

  • 證書申請與自動更新:透過 ACME 協議全流程自動化完成證書申請、驗證、續簽。
  • 域名所有權驗證:支援 HTTP-01 與 DNS-01 兩種驗證方式。
  • 與 ACME 伺服器的互動與任務排程:統一管理證書籤發任務,自動重試與輪詢更新。
  • 證書儲存、查詢與釋出:Edge 平臺內建證書儲存與分發機制,無需額外客戶端。

為甚麼需要 ACME 協議支援

在過去,OpenResty Edge 使用者通常透過兩種方式配置 SSL/TLS 證書:手動上傳證書,或使用 Let’s Encrypt(LE)自動簽發。這兩種方式的侷限性在於:

  • Let’s Encrypt 速率限制:單賬號或單域名簽發頻率受限;
  • 證書來源單一:無法滿足多 issuer 或企業內部 CA 的需求;
  • 管理複雜:多租戶、多域名場景下證書更新容易出錯。

透過 ACME 協議管理證書可以:

  • 突破 LE 限制:支援多個 issuer 與多賬號配置,輕鬆應對簽發頻率限制。
  • 靈活的 CA 選擇:除 Let’s Encrypt 外,還可選擇 ZeroSSL、Buypass,或自建 ACME 服務。
  • 一體化管理:在 OpenResty Edge 平臺統一檢視、分發與更新證書,減少運維負擔。

如何在 OpenResty Edge 中透過 ACME 協議自動簽發證書

首先在全域性配置頁面的證書籤發商中,新增證書籤發商資訊。

Screenshot

然後在應用的 SSL 頁面,選擇為整個應用授予一個全域性證書,或者透過點選新增證書按鈕為應用新增一個特定的 SSL 證書。

Screenshot

點選新增證書按鈕後,使用符合 ACME 協議的其他證書發行者生成證書。

Screenshot

您也可以使用其他 ACME 發行商自動簽發證書。簽發證書前,請確保您的域名 DNS 已正確解析並指向您的 Edge Node 閘道器伺服器。

Screenshot

您也可以如何為同一域名配置多個 ACME 證書,具體的流程步驟請參考:應用內證書

如果您想透過其他方式上傳證書,可以參考:

  1. 使用 Let’s Encrypt 客戶端自動簽發證書
  2. 在 Edge 控制檯手動上傳 SSL 證書

最佳實踐與常見問題

Q1. 支援萬用字元證書嗎?

支援,透過 DNS-01 驗證方式實現。

Q2. 與手動上傳證書能否共存?

可與手動證書共同管理,不影響現有部署。

Q3. 更新失敗怎麼辦?

具備重試與回滾機制,可手動觸發重新申請。

關於 OpenResty Edge

OpenResty Edge 是一款專為微服務和分散式流量架構設計的全能型閘道器軟體,由我們自主研發。它集流量管理、私有 CDN 構建、API 閘道器、安全防護等功能於一體,幫助您輕鬆構建、管理和保護現代應用程式。OpenResty Edge 擁有業界領先的效能和可擴充套件性,能夠滿足高併發、高負載場景下的苛刻需求。它支援排程 K8s 等容器應用流量,並可管理海量域名,輕鬆滿足大型網站和複雜應用的需求。

申請試用 OpenResty Edge

如果你喜歡這個教程,請訂閱這個部落格網站和我們的 B 站頻道。謝謝!

關於作者

章亦春是開源 OpenResty® 專案創始人兼 OpenResty Inc. 公司 CEO 和創始人。

章亦春(Github ID: agentzh),生於中國江蘇,現定居美國灣區。他是中國早期開源技術和文化的倡導者和領軍人物,曾供職於多家國際知名的高科技企業,如 Cloudflare、雅虎、阿里巴巴, 是 “邊緣計算“、”動態追蹤 “和 “機器程式設計 “的先驅,擁有超過 22 年的程式設計及 16 年的開源經驗。作為擁有超過 4000 萬全球域名使用者的開源專案的領導者。他基於其 OpenResty® 開源專案打造的高科技企業 OpenResty Inc. 位於美國矽谷中心。其主打的兩個產品 OpenResty XRay(利用動態追蹤技術的非侵入式的故障剖析和排除工具)和 OpenResty Edge(最適合微服務和分散式流量的全能型閘道器軟體),廣受全球眾多上市及大型企業青睞。在 OpenResty 以外,章亦春為多個開源專案貢獻了累計超過百萬行程式碼,其中包括,Linux 核心、Nginx、LuaJITGDBSystemTapLLVM、Perl 等,並編寫過 60 多個開源軟體庫。

關注我們

如果您喜歡本文,歡迎關注我們 OpenResty Inc. 公司的部落格網站 。也歡迎掃碼關注我們的微信公眾號:

我們的微信公眾號

翻譯

我們提供了英文版原文和中譯版(本文)。我們也歡迎讀者提供其他語言的翻譯版本,只要是全文翻譯不帶省略,我們都將會考慮採用,非常感謝!