ACME客户端是软件工具，它通过使用自动化证书管理环境(ACME)协议与ACME服务器通信来自动管理SSL证书。

这些客户端负责处理整个SSL证书生命周期，从初始颁发到自动续期。

ACME客户端通过自动验证域名所有权、申请SSL证书并将其安装到您的服务器上，免去了手动SSL证书流程。它们使用您的EAB凭据与Gworg®证书即服务(CaaS)无缝协作。

您可以将ACME客户端视为您的自动化SSL证书助手，它们全天候24小时工作，无需任何人工干预即可确保您的域名安全。

ACME客户如何运作

ACME客户遵循一套标准化的流程来获取和管理SSL证书。首先，他们使用EAB凭证在ACME服务器上注册，以验证他们付费的Gworg®证书即服务（CaaS）。

申请SSL证书时，客户端会自动通过各种验证方法（例如HTTP质询、DNS质询或TLS-ALPN质询）证明域名所有权。此验证过程自动完成，无需人工审批。

域名验证完成后，ACME服务器将颁发您的SSL证书，客户端随后可以自动将其安装到您的Web服务器上，或者将其保存到指定位置以进行手动安装。

ACME的客户还会监控SSL证书到期日期，并在SSL证书到期前自动续订（通常提前30天），从而确保您的网站和应用程序持续受到保护。

ACME热门客户

ACME生态系统提供多种客户端选项，每个选项都针对不同的使用场景和环境而设计。

虽然所有ACME客户端都遵循相同的协议标准并使用Gworg®证书即服务(CaaS)，但它们在功能、安装方法和目标受众方面有所不同。

Certbot——最受欢迎的选择

Certbot是使用最广泛的ACME客户端，由电子前沿基金会(EFF)开发。它获得了众多证书颁发机构的官方推荐，并提供完善的文档和社区支持。

Certbot可在Linux、macOS和Windows系统上运行，并内置支持Apache和Nginx等主流Web服务器。它可以自动为您的Web服务器配置新的SSL证书，也可以保存证书以供手动安装。

从官方网站下载Certbot：https://certbot.eff.org

Certbot通过命令行参数支持EAB凭证，使其非常适合与Gworg®证书即服务(CaaS)一起使用。

acme.sh-轻量级且功能多样

acme.sh是一个轻量级的ACME客户端，用shell脚本编写，几乎可以在任何类Unix系统上运行。它尤其受到系统管理员的欢迎，因为他们追求最小的依赖项和最大的兼容性。

该客户端支持众多DNS提供商，可自动进行DNS验证，并能自动将SSL证书部署到各种服务和应用程序。

从GitHub下载acme.sh：https://github.com/acmesh-official/acme.sh

acme.sh提供出色的EAB支持，并通过环境变量与Gworg®证书即服务(CaaS)无缝集成。

Lego-基于Go的ACME客户端

Lego是一个用Go语言编写的现代化ACME客户端，它编译成单个二进制文件，因此易于在不同系统上部署。它支持多种DNS提供商和云平台。

Lego特别适合容器化环境和云部署，在这些环境中，您需要一个没有外部依赖项的独立ACME客户端。

从GitHub下载Lego：https://github.com/go-acme/lego

乐高提供强大的EAB支持，并且在自动化部署场景中与Gworg®证书即服务(CaaS)配合使用效果极佳。

win-acme-专注于Windows的解决方案

win-acme（以前称为letsencrypt-win-simple）专为Windows环境和IISWeb服务器设计，为Windows管理员提供了一个用户友好的界面。

该客户端提供交互式和自动化模式，因此既适用于Windows服务器上的初始设置，也适用于持续的自动化SSL证书管理。

从GitHub下载win-acme：https://github.com/win-acme/win-acme

win-acme支持EAB凭证，并能与基于Windows的Gworg®证书即服务(CaaS)部署良好集成。

选择合适的ACME客户

您选择ACME客户端取决于您的操作系统、Web服务器、技术水平和具体需求。在为您的Gworg®证书即服务(CaaS)选择ACME客户端时，请考虑以下因素。

对于初学者来说，Certbot提供最好的文档、社区支持和自动Web服务器配置选项。

对于系统管理员而言，acme.sh提供了最大的灵活性和最小的系统要求，同时支持高级部署方案。

对于云部署而言，乐高的单一二进制设计和广泛的云提供商支持使其成为容器化和云原生应用程序的理想选择。

对于Windows环境，win-acme为基于Microsoft的基础架构提供原生Windows集成和IIS支持。

使用EAB凭证设置您的ACME客户端

所有现代ACME客户端均支持Gworg®证书即服务(CaaS)所需的EAB凭证。设置过程包括使用您的EAB密钥ID、EABMAC密钥和ACME服务器URL配置客户端。

大多数ACME客户在初始账户注册过程中需要配置EAB。配置完成后，您的客户端即可自动为您的授权域名申请和续订SSL证书。

以下是常用ACME客户端的基本配置示例：

CertbotEAB配置

使用以下命令结构，通过EAB凭据注册您的Certbot帐户：

certbot register --server YOUR_ACME_SERVER_URL --eab-kid YOUR_EAB_KEY_ID --eab-hmac-key YOUR_EAB_MAC_KEY --email your@email.com

注册后，可以使用certbotcertonly或certbotrun命令正常申请SSL证书。

acme.shEAB配置

设置EAB凭据的环境变量：

export ACME_EAB_KID="YOUR_EAB_KEY_ID"
export ACME_EAB_HMAC_KEY="YOUR_EAB_MAC_KEY"

然后使用您的ACME服务器URL注册并申请SSL证书：

acme.sh --register-account --server YOUR_ACME_SERVER_URL

Lego EAB配置

使用命令行参数指定您的EAB凭据：

lego --server YOUR_ACME_SERVER_URL --eab --kid YOUR_EAB_KEY_ID --hmac YOUR_EAB_MAC_KEY --email your@email.com --domains example.com run

ACME客户端安装方法

ACME客户端可以通过多种方式安装，具体取决于您的操作系统和个人偏好。大多数客户端提供多种安装选项，以适应不同的环境。

软件包管理器：许多ACME客户端可通过系统软件包管理器（如apt、yum、brew或chocolatey）轻松安装和更新。

二进制下载：我们为Lego和win-acme等客户端提供预编译的二进制文件，无需编译即可轻松安装。

源代码安装：高级用户可以从源代码编译ACME客户端，以获得最大程度的自定义和最新功能。

容器镜像：大多数ACME客户端都支持Docker容器，从而可以轻松部署到容器化环境中。

SSL证书颁发自动化

ACME客户的主要优势之一是，当您的Gworg®证书即服务(CaaS)产品处于活动状态时，它可以无缝地处理自动域名验证和SSL证书颁发。

ACME的客户通常会在SSL证书到期前30天尝试安装，这样就有充足的时间在SSL证书到期前解决任何问题。

使用系统调度程序设置自动续订，使ACME客户端续订命令每日或每周运行。客户端只会续订即将到期的SSL证书。

定期测试您的续订流程，以确保其与您的Gworg®证书即服务(CaaS)正确配合使用，并且不会遇到任何配置问题。

领域验证方法

ACME客户端支持多种域名验证方法，以证明您对申请SSL证书的域名拥有控制权。请选择最符合您的基础架构和安全要求的验证方法。

HTTP-01质询：在您的Web服务器上放置一个文件，ACME服务器会检索该文件以验证您对该域名的控制权。此方法需要端口80可访问。

DNS-01挑战：创建DNSTXT记录以证明域名所有权。此方法适用于防火墙后的域名，并支持颁发通配符SSL证书。

TLS-ALPN-01挑战：使用端口443上的特殊TLS证书进行验证。当端口80不可用时，此方法非常有用。

当您从Gworg®证书即服务(CaaS)帐户请求SSL证书时，您的ACME客户端将自动处理所选的验证方法。

解决常见的ACME客户端问题

大多数ACME客户端问题都与网络连接、域验证或配置问题有关。了解常见问题有助于快速解决问题。

EAB身份验证失败：请验证您的EAB凭据是否正确，以及您的Gworg®证书即服务(CaaS)是否已激活。确保您使用的是正确的ACME服务器URL。

域名验证失败：请检查您的域名是否指向正确的服务器，以及防火墙是否允许您选择的验证方法所需的端口。

速率限制：ACME服务器实施速率限制以防止滥用。请错开SSL证书请求，避免不必要的重复请求。

权限问题：请确保您的ACME客户端具有适当的文件系统权限，可以将SSL证书和质询文件写入所需位置。

ACME客户端高级功能

现代ACME客户端除了提供基本的SSL证书颁发和续订功能外，还提供其他高级功能。这些功能有助于将ACME客户端集成到复杂的架构环境中。

钩子和脚本：在SSL证书操作之前和之后执行自定义脚本，以便与部署管道和通知系统集成。

多域支持：申请涵盖多个域或子域的SSL证书，只需一张证书即可简化管理。

DNS提供商集成：通过与主要DNS提供商和云平台的API，自动管理DNS-01验证的DNS记录。

证书部署：在成功颁发或续期后，自动将SSL证书部署到负载均衡器、CDN和其他服务。

为ACME客户获取支持

每个ACME客户都有自己的支持渠道和文档资源。大多数客户提供全面的文档、社区论坛和问题跟踪系统。

对于Gworg®证书即服务(CaaS)的具体问题，我们的支持团队可以帮助解决EAB身份验证和配置问题，但是，查看您选择的ACME客户端和基础架构的文档非常重要。

寻求技术支持时，请提供您的ACME客户端版本、操作系统以及任何错误信息。切勿在技术支持沟通中透露您的EABMAC密钥。

服务连续性和续订

通过Gworg®证书即服务(CaaS)实现的自动化SSL证书安装和管理，只有在您的付费服务保持激活状态时才能无缝运行。

只要您的服务订阅有效，您的ACME客户端将继续自动续订SSL证书并保持持续保护。

为确保真正无缝、不间断地管理SSL证书，必须在Gworg®证书即服务(CaaS)到期前续订，或者考虑设置自动计费以确保服务连续性不间断。

如果您的服务到期，您的ACME客户端将无法续订SSL证书，这可能会导致SSL证书过期，网站停机，直到服务恢复为止。

最热门问题

了解使用Gworg®证书即服务(CaaS)实现SSL证书自动化管理的ACME客户端。本指南涵盖常用的ACME客户端、使用EAB凭据进行配置以及常见问题的故障排除。

ACME的客户是什么？他们如何使用Gworg®证书即服务？

ACME客户端是一种软件，它通过使用标准化的ACME协议与ACME服务器通信，实现SSL证书的自动化管理。这些客户端处理SSL证书的整个生命周期，包括验证、颁发、安装和自动续订。它们与Gworg®证书即服务(CaaS)协同工作，使用您的EAB凭据来验证您的付费订阅。

哪款ACME客户端最适合Gworg®CaaS设置？

您的选择取决于您的环境和专业技能。Certbot文档完善，支持自动Web服务器配置，因此推荐给初学者。系统管理员通常更喜欢acme.sh，因为它灵活且依赖项少。Lego最适合容器化和云部署，而win-acme则专为Windows环境和IIS服务器设计。

如何使用Gworg®EAB凭证配置Certbot？

使用以下命令结构注册您的Certbot帐户：certbotregister--serverYOUR_ACME_SERVER_URL--eab-kidYOUR_EAB_KEY_ID--eab-hmac-keyYOUR_EAB_MAC_KEY--emailyour@email.com。注册后，即可使用certbotcertonly或certbotrun命令正常申请SSL证书。

如何使用Gworg®证书即服务设置acme.sh？

设置EAB凭据的环境变量：exportACME_EAB_KID="YOUR_EAB_KEY_ID"和exportACME_EAB_HMAC_KEY="YOUR_EAB_MAC_KEY"。然后使用以下命令注册您的ACME服务器URL：acme.sh--register-account--serverYOUR_ACME_SERVER_URL。客户端随后即可自动请求和管理SSL证书。

ACME客户支持哪些域名验证方法？

ACME客户端支持三种验证方法：HTTP-01会在您的Web服务器上放置一个文件（需要使用80端口）；DNS-01会创建DNSTXT记录（可在防火墙后工作，并支持颁发通配符SSL证书）；TLS-ALPN-01会在443端口上使用特殊的TLS证书（当80端口不可用时非常有用）。您的ACME客户端会自动处理所选的验证方法。

为什么ACME客户端无法通过Gworg®CaaS的身份验证？

EAB身份验证失败通常发生在凭据错误或服务过期时。请验证您的EAB密钥ID和MAC密钥是否输入正确，确认您的Gworg®证书即服务订阅已激活，并确保您使用的是正确的ACME服务器URL。切勿在支持通信中分享您的EABMAC密钥。

ACME客户端多久自动续订一次SSL证书？

ACME客户端通常会在SSL证书到期前30天尝试续订，以便有充足的时间解决任何问题。您可以使用系统调度程序设置自动续订，使其每日或每周运行续订命令。客户端只会续订即将到期的SSL证书。

Gworg®CaaS订阅到期后，SSL证书会发生什么变化？

如果您的Gworg®证书即服务订阅到期，您的ACME客户端将无法续订SSL证书，这可能会导致SSL证书过期和网站停机。为确保SSL证书管理顺畅无阻，请在订阅到期前续订，或设置自动计费以保证服务持续运行。

ACME的客户能否从Gworg®CaaS获取通配符SSL证书？

是的，ACME的客户可以通过DNS-01验证获得通配符SSL证书。此方法会创建一个DNSTXT记录来证明域名所有权，并且是唯一支持颁发通配符证书的验证方法。许多ACME客户提供DNS提供商集成，可通过API自动管理这些记录。

ACME客户为自动化部署提供了哪些高级功能？

现代ACME客户端提供钩子和脚本，可在SSL证书操作前后执行自定义命令；支持单个证书覆盖多个域；集成DNS提供商以自动进行DNS-01验证；并在成功颁发或续订后自动部署到负载均衡器、CDN和其他服务。