原理

当我们使用 certbot 申请通配符证书时，需要手动添加 TXT 记录。每个 certbot 申请的证书有效期为 3 个月，虽然 certbot 提供了自动续期命令，但是当我们把自动续期命令配置为定时任务时，我们无法手动添加新的 TXT 记录用于 certbot 验证。

好在 certbot 提供了一个 hook，可以编写一个 Shell 脚本。在续期的时候让脚本调用 DNS 服务商的 API 接口动态添加 TXT 记录，验证完成后再删除此记录。

安装命令行工具

1，安装 aliyun cli 工具

官方工具安全无忧。

安装完成后需要【配置凭证信息】：

$REGION 是阿里云的服务器区域：cn-qingdao cn-beijing cn-hongkong 等。
更多请参考官网：https://help.aliyun.com/zh/ecs/regions-and-zones

$ACCESS_KEY_ID 和 $ACCESS_KEY_SECRET 需要在阿里云控制台申请。
详情可以参考官网：https://help.aliyun.com/zh/cli/configure-credentials

注意：要设置权限。实际是授权RAM用户管理云解析，所以授权时选择 AliyunDNSFullAccess 而不是AliyunDomainFullAccess。

2，安装 certbot-dns-aliyun Hook脚本插件

shell脚本，安全透明。

因为是从第三方下载的脚本，下载后请审查脚本内容。脚本内容比较简单，审查很容易。

3，申请泛域名证书

测试是否能正确申请：

如果aliyun权限问题，注意设置权限 AliyunDNSFullAccess。

正式申请时去掉 --dry-run 参数：

4，证书续期

测试运行正常后去掉参数 --dry-run 即可。
续期时不需要再指定其它参数，在申请证书时的参数都已经保存。续期时会自动读取参数。

5，自动续期

CentOS8 安装的来自epel仓库的certbot 1.22版本，已经自动安装了系统定时事件。
可以通过下面命令查看是否有certbot相关的定时事件。


另外在第三步正式申请时如果看到如下信息，也表示有自动定时事件。


如果没有的话，可以手动添加定时任务。
可以参考之前的文章【CentOS + Nginx 如何自动申请部署Let's Encrypt免费SSL证书】