NGINX宣布推出对ACME协议的原生支持，通过新模块ngx_http_acme_module实现直接从NGINX配置中请求、安装和更新证书。这一功能基于NGINX-Rust SDK开发，适用于NGINX开源版和NGINX Plus企业版。原生支持简化了SSL/TLS证书管理，减少手动错误和对外部工具的依赖，提升安全性和跨平台兼容性。

NGINX引入对ACME协议的原生支持

NGINX社区博客于2025年8月13日宣布，NGINX将推出对ACME协议的原生支持。这一功能通过新的模块ngx_http_acme_module实现，允许用户直接在NGINX配置中请求、安装和更新SSL/TLS证书。该模块基于NGINX-Rust SDK开发，适用于NGINX开源版本及企业版NGINX Plus用户。

ACME协议简介

ACME（自动化证书管理环境）协议由互联网安全研究小组（ISRG）开发，旨在自动化数字证书的签发、验证、更新和吊销过程。该协议最初作为Let's Encrypt项目的一部分，提供了免费的自动化SSL/TLS证书服务，极大地简化了HTTPS部署流程。ACMEv2是ACME协议的更新版本，增加了对通配符证书和新挑战类型的支持，进一步提升了灵活性和安全性。

NGINX ACME工作流程

NGINX的ACME支持工作流程分为四个步骤：

1. 设置ACME服务器：用户需指定ACME服务器的目录URL，并可配置联系信息和模块数据存储路径。
2. 分配共享内存：通过acme_shared_zone指令，用户可以为所有配置的证书颁发者存储证书、私钥和挑战数据。
3. 配置挑战：当前版本支持HTTP-01挑战，用于验证客户端域名所有权。用户需在NGINX配置中定义监听端口80的服务器块以处理ACME HTTP-01挑战。
4. 证书签发与更新：使用acme_certificate指令，用户可自动签发和更新TLS证书。该指令需指定证书的域名列表，并通过$acme_certificate和$acme_certificate_key变量传递证书和密钥信息。

原生支持的优势

NGINX对ACME的原生支持简化了SSL/TLS证书管理流程，减少了手动操作和错误，降低了对Certbot等外部工具的依赖，从而提升了安全性和工作效率。此外，原生实现确保了更好的跨平台兼容性，使其成为现代Web基础设施的理想选择。

未来展望

随着HTTPS的广泛普及，ACME协议在自动化证书管理中的重要性日益凸显。NGINX将继续完善其ACME实现，以满足用户和客户的需求，推动Web安全、自动化和可扩展性的发展。

如何开始

用户可通过NGINX官方文档和GitHub仓库获取ACME模块的预构建包，并根据指南进行配置。开源用户和企业客户均可使用该功能，具体安装步骤详见相关文档。

社区反馈

NGINX社区鼓励用户通过GitHub Issues提供反馈，帮助改进和优化ACME模块的功能。

通过引入对ACME协议的原生支持，NGINX进一步巩固了其在Web服务器领域的领先地位，为用户提供了更加便捷和安全的证书管理解决方案。

评论主要围绕Nginx引入原生ACME协议支持展开，观点分为支持、质疑和中立三类。

支持观点： 1. 简化部署流程：部分用户认为Nginx原生支持ACME协议可以减少部署的复杂性，减少手动步骤。 - "This is a good first start. One less moving part." (samgranieri) - "The fewer moving knobs, the better." (josegonzalez)

2. 与Caddy的竞争：一些用户认为这将与Caddy等软件竞争，可能吸引更多用户。
   • "It’ll probably eat into the user share of software like Traefik." (dizhn)
   • "Caddy’s support is very convenient and it does a lot of other stuff right out of the box which is great." (aorth)

质疑观点： 1. 功能不完善：部分用户指出Nginx的ACME支持目前仅支持HTTP-01挑战，缺乏DNS-01挑战，限制了其应用场景。 - "DNS-01 is probably the most impactful for users of nginx that isn’t public facing." (Shank) - "It doesn’t (yet?) have DNS challenge support - meaning no wildcards." (josegonzalez)

2. 配置复杂性：一些用户认为Nginx的配置仍然复杂，不如Caddy等工具方便。
   • "Nginx was a real pain to configure with so many puzzles and surprises and foot guns." (andrewstuart)
   • "I’m not using nginx these days because of this." (samgranieri)

中立观点： 1. 观望态度：部分用户表示愿意尝试，但仍对现有解决方案（如nginx + certbot）感到满意。 - "For now I will stick to what works (nginx + certbot), but I will give this a try." (johnisgood) - "Caddy sounds interesting too, but I am afraid of switching because what I have works properly." (johnisgood)

2. 与其他工具的比较：一些用户提到其他工具（如HAProxy、dehydrated）也提供了类似功能，Nginx需要进一步提升竞争力。
   • "It seems HAProxy also added ACME/DNS-01 challenge support in haproxy-3.3-dev6 very recently." (miggy)
   • "Dehydrated has been around for a while and is a great low-overhead option for http-01 renewal automation." (thaumaturgy)

总结：Nginx引入原生ACME协议支持受到一定关注，但用户对其功能完善性和配置复杂性存在质疑，部分用户仍倾向于使用现有解决方案或转向Caddy等工具。