NGINX 正式支持 ACME 协议，实现SSL/TLS证书自动化管理

NGINX团队正式发布了对ACME协议支持功能的预览版本。该功能通过全新的 ngx_http_acme_module 模块，提供内置配置指令，允许开发者直接在Nginx配置中请求、安装和续订SSL/TLS证书。此ACME功能基于NGINX-Rust SDK开发，并以Rust动态模块的形式提供，适用于NGINX开源版用户，以及使用NGINX Plus的企业级NGINX One客户。

原生集成ACME协议为NGINX带来了多重优势，它显著简化并增强了SSL/TLS证书管理的全流程。通过NGINX指令直接配置，可以大大减少手动操作错误，并消除传统证书管理所带来的持续运维开销。这减少了对Certbot等外部工具的依赖，从而构建出更安全、更精简的工作流，降低了潜在漏洞风险并缩小了攻击面。此外，与某些外部工具可能存在的平台限制不同，原生实现具备更强的可移植性和平台独立性，使其成为适应现代、快速演进的网络基础设施的一种多功能且可靠的解决方案。

什么是 ACME？

ACME协议（Automated Certificate Management Environment，自动证书管理环境）是一种通信协议，主要用于自动化数字安全证书（例如 SSL/TLS 证书）的签发、验证、续期和吊销过程。它使客户端能够在无需人工干预的情况下与证书颁发机构（CA）进行交互，从而极大地简化了网站以及其他基于 HTTPS 服务的安全部署。

ACME协议由互联网安全研究组织（ISRG）于2015年底作为 Let's Encrypt 项目的一部分推出，其核心目标是提供免费的自动化SSL/TLS证书服务。在ACME出现之前，获取和管理TLS证书通常是一个手动、昂贵且容易出错的过程。ACME通过提供开源的自动化证书管理流程，彻底改变了这一现状。

ACMEv2是ACME协议的更新版本。它增加了对新类型挑战的支持，扩展了认证方式，支持通配符证书，并进行了其他多项改进，以提升协议的灵活性与安全性。

NGINX ACME 工作流程

NGINX的ACME工作流程主要包含以下四个步骤：

1. 设置 ACME 服务器
2. 分配共享内存
3. 配置挑战（Challenges）
4. 证书签发与续期

设置 ACME 服务器

启用ACME功能的第一步（也是唯一必须的步骤）是指定ACME服务器的目录URL。

此外，你还可以提供额外的联系信息，以便在证书出现问题时CA能联系到管理员，或者指定模块数据的存储位置，如下例所示。

acme_issuer letsencrypt {
    uri         https://acme-v02.api.letsencrypt.org/directory;
    # contact   admin@example.test;
    state_path  /var/cache/nginx/acme-letsencrypt;

    accept_terms_of_service;
}

分配共享内存

该实现提供了一个可选指令 acme_shared_zone，用于保存所有已配置证书颁发者的证书、私钥及挑战数据。这个共享内存区域的默认大小为256KB，可以根据实际需求进行调整。

acme_shared_zone zone=acme_shared:1M;

配置挑战（Challenges）

当前的预览版本实现了对HTTP-01挑战的支持，该挑战用于验证客户端对域名的所有权。你需要在NGINX配置中定义一个监听80端口的server块，以处理ACME发起的HTTP-01挑战请求。

server {
    # listener on port 80 is required to process ACME HTTP-01 challenges
    listen 80;

    location / {
        #Serve a basic 404 response while listening for challenges
        return 404;
    }
}

未来版本计划支持其他挑战类型，如TLS-ALPN-01和DNS-01。

证书签发与续期

在NGINX配置中相应的 server 块内使用 acme_certificate 指令，即可实现TLS证书的自动签发与续期。该指令需要指定一个待签发证书的域名标识符列表，这个列表通常通过 server_name 指令来定义。

下面的示例展示了如何使用之前定义的名为letsencrypt的ACME证书颁发者，为 *.example.com 域名自动签发和续期SSL证书。

server {

    listen 443 ssl;

    server_name *.example.com;

    acme_certificate letsencrypt;

    ssl_certificate         $acme_certificate;
    ssl_certificate_key     $acme_certificate_key;
    ssl_certificate_cache   max=2;
}

需要注意的是，server_name 指令接受的某些值（如通配符或正则表达式）在初始版本中可能不作为有效的标识符被支持。

在该模块中，你可以使用 $acme_certificate 和 $acme_certificate_key 这两个内置变量来分别获取与域名关联的SSL证书及其私钥文件路径。

为什么这一切如此重要？

ACME协议极大地推动了全球HTTPS的快速普及，使安全的网页连接成为了默认标准。它通过自动化整个TLS/SSL证书的签发、续期和管理生命周期，实现了证书管理的现代化，减少了人工干预，并降低了与证书管理相关的运维成本。除了Web应用，随着物联网设备和边缘计算的兴起，ACME在自动化保护API、设备及边缘计算基础设施安全方面，也将扮演越来越关键的角色。

NGINX对ACME的原生支持，凸显了该协议在未来网络安全、自动化和可扩展性领域的重要地位。可以预见，ACME将继续作为互联网及其他领域证书自动化的核心支柱。随着安全成为网络标准的基础，对部署模型和安全需求的不断演进也将持续推动ACME协议的改进与完善。

展望未来，NGINX团队将致力于不断完善其ACME实现，以满足用户当前的需求，并为他们未来的发展构建相应的能力。