基于 win-acme 的 DNS 验证申请域名证书

小渣渣

需求：使用 win-acme 申请 ssl 域名证书，导出格式为 PEM，也就是可以将证书配置到 nginx 服务上面。

回顾

30元购买最便宜的域名通配符 SSL 证书
https://www.itsvse.com/thread-10520-1-1.html

WIN-ACME

这是一个适用于 Windows 的 ACMEv2 客户端，旨在让用户能够轻松上手，但功能强大到足以应对几乎所有场景。

• 一个非常简单的界面，用于在本地 IIS 服务器上创建和安装证书。
• 更高级的接口，适用于包括Apache和Exchange在内的许多其他用例。
• 需要时自动创建计划任务以续订证书
• 获取带有通配符（*.example.com）、国际名称（证书.example.com）、 OCSP Must Staple扩展（可选）的证书。
• DANE可以重复使用私钥，也可以使用 EC加密，或者自带 CSR。
• 用于 DNS、HTTP 和 TLS 验证的高级工具包：支持 SFTP / FTPS、 acme-dns、 Azure、 Route53、 Cloudflare 等众多服务……
• 您可以根据需要将证书存储在任何位置： Windows、 IIS 中央存储库、 .pem 文件、 .pfx 文件或 KeyVault。
• 兼容所有主流的ACME服务，包括 Let's Encrypt、 ZeroSSL、 DigiCert、 Sectigo、 Buypass、 Keyon 等……
• 完全无人值守的命令行操作
• .json其他通过文件操作实现的自动化形式
• 编写您自己的 PowerShell.ps1脚本来处理安装和验证
• 使用 C# 构建您自己的插件
  

官网：超链接登录可见。
源码：超链接登录可见。
命令行参数：超链接登录可见。
下载：超链接登录可见。

pluggable 和 trimmed 版本

pluggable 版本包含所有插件和扩展，功能更全面。
trimmed 版本去除了不必要的插件和扩展，体积更小，适合只需要基本功能的用户。

生成域名证书教程

下载解压 win-acme.v2.2.9.1701.x64.pluggable.zip 压缩包，进入到解压后的目录，执行命令如下：

登录可见。

换行显示的命令如下：

登录可见。

主要参数含义：

--target manual: 选择手动模式运行。
--host example.com,*.example.com: 定义要为哪些域名申请证书。
--validationmode dns-01: 使用 DNS-01 验证方法。
--validation manual: 手动执行 DNS 验证。
--installation none: 不自动安装证书到 IIS 或其他服务。
--accepttos: 自动接受服务条款。

我们选择手动使用 DNS 验证，如下图：



在域名解析控制面板，添加 txt 记录。如下图：



回到 cmd 控制台窗口，按下 enter 回车键继续，如下图：



删除 txt 记录，继续按回车键继续，如下图：



证书成功生成到 D:\ssl 目录下面，使用如下两个文件即可：

chain.pem 这个文件包含完整的证书链，包括你的域名证书和所有中间证书，但不包括根证书。
key.pem 这个文件包含与你的域名证书相对应的私钥。

参考：

超链接登录可见。
超链接登录可见。