Acme.sh脚本更新Let's Encrypt域名证书出现code:60错误的根源及解决方法
1.根源
Lets Encrypt acme 服务器在 9 月 30 日更改了它使用的证书链,以更好地解决根证书过期的问题。Lets Encrypt acme 服务器根证书由DST Root CA X3更改为ISRG Root X1,因为系统和部分工具中没有存储其 CA 证书,所以提示SSL证书错误,无法更新。
2.1临时解决办法
--insecure Do not check the server certificate, in some devices, the api server's certificate may not be trusted.
在域名证书更新时使用--insecure参数,会忽略对Lets Encrypt acme 服务器证书的检查,从而实现更新证书。
2.2永久解决办法
Lets Encrypt acme 服务器根证书更新到系统中。
如群晖可以使用以下命令更新CA库:
sudo mv /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/ca-certificates.crt.bak && sudo curl -Lko /etc/ssl/certs/ca-certificates.crt https://curl.se/ca/cacert.pem
参考文章:
1.https://community.letsencrypt.org/t/im-trying-update-certs-with-acme-sh-but-it-do-not-work-anymore/165272
2.https://github.com/andyzhshg/syno-acme/issues/80