整体架构

• 使用 acme.sh + Let's Encrypt

• DNS 验证方式（-dns dns_cf）

• 每个域名使用独立的 Cloudflare 账号，凭据保存在该域名的配置文件内，互不影响

• 证书自动续期（cron 每天检查，到期前自动更新并 reload nginx）

一、准备工作

获取每个域名的 Cloudflare API 凭据

• 进入「管理账户 →账户 API 令牌」

• 创建令牌 → 编辑策略：指定域名 → 选择对应域名

• 生成后记录：
• API 令牌（通常以 cfat_ 开头）
• Account ID（在域名概览右侧或 API 令牌页面可复制，32 位十六进制）

二、为每个域名创建凭据配置文件

三、签发证书

1. 签发 www.example.com（通配符 + 根域名）

2. 签发 abc.example.net（仅单域名）

--force 用于强制重新签发，如果不需要强制可去掉。

四、安装证书到指定路径

1. 安装 第一个账户域名 证书

2. 安装 第二个账户域名 证书

五、配置 nginx 使用新证书

六、确保全局 account.conf 中无凭据残留

七、验证和查看状态

1. 检查证书列表

2. 确认定时任务

3. 手动运行 cron 确认续期逻辑

4. 验证凭据隔离

流程精简版（三步走）

1. 写入凭据 → 创建 ~/.acme.sh/域名/域名.conf（CF_Token + CF_Account_ID）

2. 签发安装 → -issue + -install-cert，带 -dns dns_cf 和 -ecc

3. 配置 nginx → 证书路径指向 /etc/ssl/private/域名.key /etc/ssl/private/域名.cer，然后重载 nginx -t && systemctl reload nginx