ACMEbot：自动化证书管理的开源工具

ACMEbot：自动化证书管理的开源工具

1. 项目基础介绍

ACMEbot 是一个使用 ACME 协议自动获取和维护证书的开源工具。该项目主要使用 Python 3.7+ 编程语言开发，并且依赖于 OpenSSL 支持。ACMEbot 可以为各种证书颁发机构（CA）提供自动化服务，尤其是与 Let's Encrypt 兼容性良好，但也支持其他遵循 ACME 协议的 CA。

2. 项目核心功能

• 自动证书签发与维护：ACMEbot 可以自动签发和更新证书，简化了证书管理流程。
• 主从模式：工具将授权（域名验证）和证书签发过程分离，允许一台机器维护授权（主节点），而另一台机器签发证书（从节点）。这对于位于防火墙后面且无法通过 HTTP 或配置 DNS 记录的服务器特别有用。
• 共享私钥：支持多个证书使用相同的公私钥对，提高了安全性。
• HPKP 支持：自动生成并维护 HPKP 头信息，适用于 Apache 和 Nginx。
• 私钥滚动：自动生成备份密钥，并在滚动私钥时切换到预生成的备份密钥。
• 并行 RSA 和 ECDSA 证书：默认情况下，并行生成和维护 RSA 和 ECDSA 证书。
• 证书透明度支持：自动将证书注册到多个证书透明度日志，并检索签名的证书时间戳（SCTs）。
• OCSP 响应文件支持：自动获取和维护每个配置证书的 OCSP 响应文件。
• 加密私钥：可以选择使用密码和选择的加密算法对主密钥和备份密钥进行加密。
• DNS 和 HTTP 授权混合使用：默认使用 dns-01 授权，但可以配置特定域名使用 http-01 授权。
• 自动本地或远程 DNS 更新：自动添加和删除 DNS 记录以及 TLSA 记录。
• 配置输出文件名：所有证书、密钥和相关文件的名称和输出目录完全可配置。
• 配置部署钩子：在写入密钥、证书或相关文件的每个操作中，都有可选的钩子调用用户指定的程序。
• 证书安装验证：自动连接到配置的服务器，验证生成的证书是否通过 TLS 正确提供服务。
• ACME 协议支持：支持 ACME V1 和 V2 API，支持使用 V2 API 签发通配符证书。

3. 项目最近更新的功能

最近更新的功能可能包括但不限于：

• 对配置文件和参数处理的改进，以提供更好的灵活性和稳定性。
• 新增或改进了对特定 DNS 提供商的集成，以支持自动 DNS 更新。
• 优化了错误处理和日志记录，以便更准确地诊断问题。
• 可能增加了对新 ACME 协议版本的支持，以及与新证书颁发机构的兼容性改进。