@aaricchen1991/n2-cli 1.0.0

package/assets/deploy/server-setup.sh

@@ -0,0 +1,285 @@
+#!/bin/bash
+# 服务器初始化脚本
+# 在服务器上运行此脚本来设置部署环境
+# 支持 Alibaba Cloud Linux 3 和 Ubuntu/Debian 系统
+
+set -e
+
+log() {
+    echo "[$(date +'%Y-%m-%d %H:%M:%S')] $1"
+}
+
+error() {
+    echo "[ERROR] $1" >&2
+}
+
+warning() {
+    echo "[WARNING] $1"
+}
+
+# 检测操作系统
+detect_os() {
+    if [ -f /etc/os-release ]; then
+        . /etc/os-release
+        OS_ID="$ID"
+        OS_VERSION_ID="$VERSION_ID"
+        
+        # 检测是否为 Alibaba Cloud Linux
+        if [ "$ID" = "alinux" ] || [ "$ID" = "alios" ] || grep -q "Alibaba Cloud Linux" /etc/os-release 2>/dev/null; then
+            OS_TYPE="alinux"
+            PKG_MANAGER="yum"
+            NGINX_USER="nginx"
+            NGINX_GROUP="nginx"
+            NGINX_CONFIG_DIR="/etc/nginx/conf.d"
+        # 检测是否为 CentOS/RHEL
+        elif [ "$ID" = "centos" ] || [ "$ID" = "rhel" ] || [ "$ID" = "rocky" ] || [ "$ID" = "almalinux" ]; then
+            OS_TYPE="rhel"
+            PKG_MANAGER="yum"
+            NGINX_USER="nginx"
+            NGINX_GROUP="nginx"
+            NGINX_CONFIG_DIR="/etc/nginx/conf.d"
+        # 检测是否为 Ubuntu/Debian
+        elif [ "$ID" = "ubuntu" ] || [ "$ID" = "debian" ]; then
+            OS_TYPE="debian"
+            PKG_MANAGER="apt-get"
+            NGINX_USER="www-data"
+            NGINX_GROUP="www-data"
+            NGINX_CONFIG_DIR="/etc/nginx/sites-available"
+            NGINX_ENABLED_DIR="/etc/nginx/sites-enabled"
+        else
+            OS_TYPE="unknown"
+            warning "未识别的操作系统: $ID"
+            # 默认使用 yum 和 nginx 用户组（Alibaba Cloud Linux 3 兼容）
+            PKG_MANAGER="yum"
+            NGINX_USER="nginx"
+            NGINX_GROUP="nginx"
+            NGINX_CONFIG_DIR="/etc/nginx/conf.d"
+        fi
+        
+        log "检测到操作系统: $OS_ID $OS_VERSION_ID (类型: $OS_TYPE)"
+    else
+        error "无法检测操作系统，/etc/os-release 不存在"
+        exit 1
+    fi
+}
+
+# 检查并配置阿里云镜像源（仅 Alibaba Cloud Linux）
+check_aliyun_mirror() {
+    if [ "$OS_TYPE" = "alinux" ]; then
+        if [ -f /etc/yum.repos.d/CentOS-Base.repo ] || [ -f /etc/yum.repos.d/epel.repo ]; then
+            # 检查是否已配置阿里云镜像源
+            if grep -q "mirrors.aliyun.com" /etc/yum.repos.d/*.repo 2>/dev/null; then
+                log "已检测到阿里云镜像源配置"
+            else
+                warning "建议配置阿里云镜像源以加速软件包下载"
+                warning "可以运行: sudo sed -i 's|^mirrorlist=|#mirrorlist=|g' /etc/yum.repos.d/*.repo"
+                warning "然后运行: sudo sed -i 's|^#baseurl=http://mirror.centos.org|baseurl=https://mirrors.aliyun.com|g' /etc/yum.repos.d/*.repo"
+            fi
+        fi
+    fi
+}
+
+# 安装 Nginx（如果未安装）
+install_nginx() {
+    if command -v nginx >/dev/null 2>&1; then
+        log "Nginx 已安装: $(nginx -v 2>&1)"
+        return 0
+    fi
+    
+    log "Nginx 未安装，开始安装..."
+    
+    if [ "$PKG_MANAGER" = "yum" ]; then
+        # 更新 yum 缓存
+        yum makecache -y || true
+        
+        # 安装 Nginx
+        if yum install -y nginx; then
+            log "Nginx 安装成功"
+        else
+            error "Nginx 安装失败"
+            exit 1
+        fi
+    elif [ "$PKG_MANAGER" = "apt-get" ]; then
+        # 更新 apt 缓存
+        apt-get update -y
+        
+        # 安装 Nginx
+        if apt-get install -y nginx; then
+            log "Nginx 安装成功"
+        else
+            error "Nginx 安装失败"
+            exit 1
+        fi
+    else
+        error "不支持的包管理器: $PKG_MANAGER"
+        exit 1
+    fi
+}
+
+# 检查是否以 root 或 sudo 权限运行
+if [ "$EUID" -ne 0 ]; then 
+    error "请使用 sudo 运行此脚本"
+    exit 1
+fi
+
+# 检测操作系统
+detect_os
+
+# 检查阿里云镜像源（仅 Alibaba Cloud Linux）
+if [ "$OS_TYPE" = "alinux" ]; then
+    check_aliyun_mirror
+fi
+
+log "开始服务器初始化..."
+
+# 安装 Nginx（如果未安装）
+install_nginx
+
+# 创建部署目录（支持 admin, tenant, client, tools, website）
+log "创建部署目录..."
+for app in admin tenant client tools website; do
+    mkdir -p "/var/www/${app}"
+    mkdir -p "/var/www/backups/${app}"
+    mkdir -p "/tmp/deploy-${app}"
+done
+mkdir -p /opt/deploy
+
+# 创建 SSL 证书目录
+log "创建 SSL 证书目录..."
+mkdir -p /etc/nginx/ssl
+chmod 755 /etc/nginx/ssl
+
+# 设置权限（使用检测到的用户组）
+log "设置目录权限 (用户组: ${NGINX_USER}:${NGINX_GROUP})..."
+chown -R ${NGINX_USER}:${NGINX_GROUP} /var/www
+chmod -R 755 /var/www
+
+# 检查部署脚本是否存在
+SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
+DEPLOY_SCRIPT="${SCRIPT_DIR}/deploy.sh"
+
+if [ ! -f "$DEPLOY_SCRIPT" ]; then
+    error "部署脚本不存在: $DEPLOY_SCRIPT"
+    error "请确保在项目根目录的 scripts 目录下运行此脚本"
+    exit 1
+fi
+
+# 复制部署脚本
+log "安装部署脚本..."
+cp "$DEPLOY_SCRIPT" /opt/deploy/
+chmod +x /opt/deploy/deploy.sh
+
+# 复制 SSL 脚本、域名列表与公共库（如果存在）
+SSL_SCRIPT_DIR="${SCRIPT_DIR}/ssl"
+LIB_DIR="${SCRIPT_DIR}/lib"
+if [ -d "$SSL_SCRIPT_DIR" ]; then
+    log "安装 SSL 证书脚本..."
+    mkdir -p /opt/ssl
+    cp "$SSL_SCRIPT_DIR"/*.sh /opt/ssl/ 2>/dev/null || true
+    [ -f "$SSL_SCRIPT_DIR/domains.txt" ] && cp "$SSL_SCRIPT_DIR/domains.txt" /opt/ssl/ 2>/dev/null || true
+    [ -f "$LIB_DIR/common.sh" ] && cp "$LIB_DIR/common.sh" /opt/ssl/ 2>/dev/null || true
+    chmod +x /opt/ssl/*.sh 2>/dev/null || true
+    log "SSL 脚本已安装到 /opt/ssl/"
+fi
+
+# 创建占位 SSL 证书，使 nginx -t 在首次部署时能通过（后续 n2-deploy ssl 会用 acme.sh 申请真实证书覆盖）
+# 域名列表来自部署脚本目录下 ssl/domains.txt（由 n2-deploy init 根据配置生成）
+log "创建占位 SSL 证书（供 Nginx 配置验证，后续将由 acme.sh 替换为正式证书）..."
+DOMAINS_FILE="${SCRIPT_DIR}/ssl/domains.txt"
+if [ ! -f "$DOMAINS_FILE" ]; then
+    error "域名列表不存在: $DOMAINS_FILE，请先执行 n2-deploy init（会从配置生成 domains.txt）"
+    exit 1
+fi
+PLACEHOLDER_DOMAINS=""
+while IFS= read -r line || [ -n "$line" ]; do
+    line=$(echo "$line" | tr -d '\r')
+    [ -z "$line" ] && continue
+    PLACEHOLDER_DOMAINS="${PLACEHOLDER_DOMAINS} ${line}"
+done < "$DOMAINS_FILE"
+if command -v openssl >/dev/null 2>&1; then
+    PLACEHOLDER_KEY="/etc/nginx/ssl/.placeholder.key"
+    PLACEHOLDER_CRT="/etc/nginx/ssl/.placeholder.crt"
+    openssl req -x509 -nodes -days 1 -newkey rsa:2048 \
+        -keyout "$PLACEHOLDER_KEY" -out "$PLACEHOLDER_CRT" \
+        -subj "/CN=placeholder" 2>/dev/null || true
+    if [ -f "$PLACEHOLDER_CRT" ] && [ -f "$PLACEHOLDER_KEY" ]; then
+        for domain in $PLACEHOLDER_DOMAINS; do
+            cp "$PLACEHOLDER_CRT" "/etc/nginx/ssl/${domain}.crt"
+            cp "$PLACEHOLDER_KEY" "/etc/nginx/ssl/${domain}.key"
+        done
+        rm -f "$PLACEHOLDER_CRT" "$PLACEHOLDER_KEY"
+        chmod 644 /etc/nginx/ssl/*.crt 2>/dev/null || true
+        chmod 600 /etc/nginx/ssl/*.key 2>/dev/null || true
+        chown root:root /etc/nginx/ssl/*.crt /etc/nginx/ssl/*.key 2>/dev/null || true
+        log "占位证书已创建，Nginx 可正常启动；部署流程中将申请正式证书并覆盖"
+    else
+        warning "无法生成占位证书，若 Nginx 配置验证失败请先手动申请 SSL 证书"
+    fi
+else
+    warning "未找到 openssl，跳过占位证书创建；若 Nginx 配置验证失败请先安装 openssl 并申请 SSL 证书"
+fi
+
+# 安装 Nginx 配置（n2.conf 由 n2-deploy nginx 根据配置生成）
+log "安装 Nginx 配置..."
+NGINX_CONF_NAME="n2.conf"
+NGINX_CONFIG="${SCRIPT_DIR}/nginx/${NGINX_CONF_NAME}"
+if [ -f "$NGINX_CONFIG" ]; then
+    if [ "$OS_TYPE" = "debian" ]; then
+        # Ubuntu/Debian 使用 sites-available 和 sites-enabled
+        mkdir -p "$NGINX_CONFIG_DIR"
+        mkdir -p "$NGINX_ENABLED_DIR"
+        cp "$NGINX_CONFIG" "$NGINX_CONFIG_DIR/${NGINX_CONF_NAME}"
+        
+        # 创建符号链接
+        if [ -L "$NGINX_ENABLED_DIR/${NGINX_CONF_NAME}" ]; then
+            rm "$NGINX_ENABLED_DIR/${NGINX_CONF_NAME}"
+        fi
+        ln -sf "$NGINX_CONFIG_DIR/${NGINX_CONF_NAME}" "$NGINX_ENABLED_DIR/${NGINX_CONF_NAME}"
+        NGINX_CONFIG_PATH="$NGINX_ENABLED_DIR/${NGINX_CONF_NAME}"
+    else
+        # Alibaba Cloud Linux 3 / CentOS/RHEL 使用 conf.d
+        mkdir -p "$NGINX_CONFIG_DIR"
+        cp "$NGINX_CONFIG" "$NGINX_CONFIG_DIR/${NGINX_CONF_NAME}"
+        NGINX_CONFIG_PATH="$NGINX_CONFIG_DIR/${NGINX_CONF_NAME}"
+    fi
+    
+    log "Nginx 配置文件已安装到: $NGINX_CONFIG_PATH"
+    
+    # 测试 Nginx 配置
+    if nginx -t; then
+        log "Nginx 配置验证成功"
+        # 尝试重新加载 Nginx（如果正在运行）
+        if systemctl is-active --quiet nginx 2>/dev/null; then
+            log "重新加载 Nginx 配置..."
+            systemctl reload nginx || warning "Nginx 重新加载失败，请手动检查"
+        else
+            log "Nginx 未运行，请手动启动: sudo systemctl start nginx"
+        fi
+    else
+        error "Nginx 配置验证失败，请检查配置文件"
+        exit 1
+    fi
+else
+    error "Nginx 配置文件不存在: $NGINX_CONFIG"
+    error "请先执行 n2-deploy nginx --config <config.yaml> --output <path>/n2.conf 生成 n2.conf"
+    exit 1
+fi
+
+log "服务器初始化完成！"
+log ""
+log "系统信息："
+log "  - 操作系统: $OS_ID $OS_VERSION_ID"
+log "  - 包管理器: $PKG_MANAGER"
+log "  - Nginx 用户组: ${NGINX_USER}:${NGINX_GROUP}"
+log "  - Nginx 配置路径: $NGINX_CONFIG_PATH"
+log ""
+log "后续步骤："
+log "1. 编辑 $NGINX_CONFIG_PATH，修改域名配置"
+log "2. 配置 GitHub Secrets (DEPLOY_HOST, DEPLOY_SSH_KEY, ALIYUN_ACCESS_KEY_ID, ALIYUN_ACCESS_KEY_SECRET)"
+log "3. 设置 SSH 密钥认证"
+log "4. 配置 SSL 证书（使用 acme.sh + 阿里云 DNS API）："
+log "   - 设置环境变量: export Ali_Key=\"your_key\" && export Ali_Secret=\"your_secret\""
+log "   - 运行脚本: sudo ./scripts/ssl/setup-ssl.sh"
+log "   - 详细说明请参考: scripts/ssl/README.md"
+log "5. 重启 Nginx: sudo systemctl restart nginx"
+

package/assets/deploy/ssl/README.md

@@ -0,0 +1,320 @@
+# SSL 证书配置说明
+
+本文档说明如何使用 acme.sh 和阿里云 DNS API 自动申请和续期 Let's Encrypt SSL 证书。
+
+## 概述
+
+本方案使用 [acme.sh](https://github.com/acmesh-official/acme.sh) 工具，通过阿里云 DNS API 进行域名验证，自动申请和续期 Let's Encrypt 证书。这种方式不需要开放 80 端口，适合服务器防火墙严格限制的场景。
+
+## 前置要求
+
+1. **域名已解析到服务器**：确保域名 DNS 已正确配置
+2. **阿里云账号**：拥有域名管理权限的阿里云账号
+3. **阿里云 API 凭证**：AccessKey ID 和 AccessKey Secret
+
+## 获取阿里云 API 凭证
+
+### 1. 创建 RAM 用户（推荐）
+
+为了安全，建议创建一个专门的 RAM 用户用于 DNS API 操作：
+
+1. 登录 [阿里云控制台](https://ecs.console.aliyun.com/)
+2. 进入 **访问控制（RAM）** > **用户** > **创建用户**
+3. 填写用户信息，勾选 **编程访问**（获取 AccessKey）
+4. 记录 AccessKey ID 和 AccessKey Secret（只显示一次，请妥善保管）
+
+### 2. 授权 RAM 用户
+
+为 RAM 用户授予 DNS 管理权限：
+
+1. 在用户列表中，点击新创建的用户
+2. 进入 **权限管理** > **添加权限**
+3. 选择 **AliyunDNSFullAccess**（DNS 完全管理权限）
+   - 或者创建自定义策略，仅授予以下权限：
+     - `alidns:DescribeDomainRecords` - 查询域名解析记录
+     - `alidns:AddDomainRecord` - 添加域名解析记录
+     - `alidns:DeleteDomainRecord` - 删除域名解析记录
+
+### 3. 获取 AccessKey
+
+1. 在用户详情页，进入 **安全信息** > **创建 AccessKey**
+2. 记录 **AccessKey ID** 和 **AccessKey Secret**
+
+## 配置步骤
+
+### 方法一：手动配置（首次设置）
+
+1. **设置环境变量**
+
+```bash
+export Ali_Key="your_access_key_id"
+export Ali_Secret="your_access_key_secret"
+```
+
+2. **运行证书申请脚本**
+
+```bash
+cd /path/to/deploy-package/assets/deploy/ssl
+sudo ./setup-ssl.sh --domains "your-domain.com"
+```
+
+域名列表由部署配置（如 `~/.deploy/config.yaml` 或包内 `assets/deploy/domains.yaml`）管理；执行 `n2-deploy init` 或 `n2-deploy ssl` 会根据配置生成/更新 `domains.txt`。`check-and-setup-ssl.sh` 会按 `domains.txt` 自动为所有域名申请证书。
+
+脚本会自动：
+
+- 安装 acme.sh（如果未安装）
+- 为指定域名申请证书
+- 安装证书到 `/etc/nginx/ssl/`
+- 配置自动续期
+
+### 方法二：通过 GitHub Secrets（CI/CD 自动化）
+
+1. **配置 GitHub Secrets**
+
+在 GitHub 仓库设置中添加以下 Secrets：
+
+- `ALIYUN_ACCESS_KEY_ID`: 阿里云 AccessKey ID
+- `ALIYUN_ACCESS_KEY_SECRET`: 阿里云 AccessKey Secret
+
+2. **在 CI/CD 中使用**
+
+```bash
+export Ali_Key="${{ secrets.ALIYUN_ACCESS_KEY_ID }}"
+export Ali_Secret="${{ secrets.ALIYUN_ACCESS_KEY_SECRET }}"
+sudo ./scripts/ssl/setup-ssl.sh
+```
+
+### 自定义域名
+
+如果需要使用不同的域名，可以通过参数指定：
+
+```bash
+sudo ./setup-ssl.sh --domains "tools.example.com,qxtool.vip,www.qxtool.vip"
+```
+
+### 调试模式
+
+如果证书申请失败，可以使用 `--debug` 参数启用调试模式，获取更详细的错误信息：
+
+```bash
+sudo ./setup-ssl.sh --debug --ali-key "your_key" --ali-secret "your_secret"
+```
+
+调试模式会：
+
+- 显示详细的执行日志
+- 输出完整的 acme.sh 命令
+- 提供更详细的错误信息和建议
+
+## 证书续期
+
+### 自动续期
+
+acme.sh 会自动创建 cron 任务，证书将在到期前 30 天自动续期。无需手动操作。
+
+### 手动续期
+
+如果需要手动续期证书：
+
+```bash
+sudo ./scripts/ssl/renew-ssl.sh
+```
+
+强制续期所有证书（即使未到期）：
+
+```bash
+sudo ./scripts/ssl/renew-ssl.sh --force
+```
+
+### 查看续期任务
+
+```bash
+crontab -l
+```
+
+## 证书文件位置
+
+证书文件安装在以下位置：
+
+- **Tools 域名证书**：
+  - 证书：`/etc/nginx/ssl/tools.qxtool.vip.crt`
+  - 私钥：`/etc/nginx/ssl/tools.qxtool.vip.key`
+
+- **Website 域名证书**：
+  - 证书：`/etc/nginx/ssl/qxtool.vip.crt`
+  - 私钥：`/etc/nginx/ssl/qxtool.vip.key`
+
+## 故障排查
+
+### 1. 证书申请失败
+
+**错误：无法找到域名**
+
+- 检查域名 DNS 是否正确解析到服务器
+- 确认域名在阿里云 DNS 中已添加
+
+**错误：API 凭证无效**
+
+- 检查 AccessKey ID 和 Secret 是否正确
+- 确认 RAM 用户已授予 DNS 管理权限
+- 验证 AccessKey 是否已启用
+
+**错误：DNS 记录添加失败（Error adding TXT record）**
+
+这是最常见的错误，可能的原因和解决方法：
+
+1. **检查 RAM 用户权限**
+   - 登录阿里云控制台，检查 RAM 用户是否拥有 `AliyunDNSFullAccess` 权限
+   - 或者至少拥有以下权限：
+     - `alidns:DescribeDomainRecords` - 查询域名解析记录
+     - `alidns:AddDomainRecord` - 添加域名解析记录
+     - `alidns:DeleteDomainRecord` - 删除域名解析记录
+
+2. **确认域名在阿里云 DNS 管理**
+   - 登录 [阿里云 DNS 控制台](https://dns.console.aliyun.com/)
+   - 确认域名 `qxtool.vip` 已在控制台添加
+   - 确认子域名 `tools.qxtool.vip` 的 DNS 解析由阿里云管理
+
+3. **验证 API 凭证**
+
+   ```bash
+   # 检查环境变量是否正确设置
+   echo "AccessKey ID: ${Ali_Key:0:10}..."
+   echo "AccessKey Secret: ${Ali_Secret:0:10}..."
+   ```
+
+4. **使用调试模式重新运行**
+
+   ```bash
+   sudo ./setup-ssl.sh --debug --ali-key "your_key" --ali-secret "your_secret"
+   ```
+
+5. **查看详细日志**
+
+   ```bash
+   # 查看 acme.sh 日志
+   tail -100 ~/.acme.sh/acme.sh.log
+
+   # 实时查看日志
+   tail -f ~/.acme.sh/acme.sh.log
+   ```
+
+6. **手动测试 DNS API**
+   - 如果问题持续，可以尝试手动调用阿里云 DNS API 测试权限
+   - 参考 [阿里云 DNS API 文档](https://help.aliyun.com/document_detail/29739.html)
+
+### 2. 证书续期失败
+
+**检查证书到期时间**：
+
+```bash
+openssl x509 -in /etc/nginx/ssl/tools.qxtool.vip.crt -noout -dates
+```
+
+**查看 acme.sh 日志**：
+
+```bash
+tail -f ~/.acme.sh/acme.sh.log
+```
+
+**手动测试续期**：
+
+```bash
+sudo ~/.acme.sh/acme.sh --renew -d tools.qxtool.vip --force
+```
+
+### 3. Nginx 配置错误
+
+**测试 Nginx 配置**：
+
+```bash
+sudo nginx -t
+```
+
+**查看 Nginx 错误日志**：
+
+```bash
+sudo tail -f /var/log/nginx/error.log
+```
+
+**检查证书文件权限**：
+
+```bash
+ls -la /etc/nginx/ssl/
+```
+
+应该显示：
+
+- `.key` 文件权限为 `600`，所有者 `root:root`
+- `.crt` 文件权限为 `644`，所有者 `root:root`
+
+### 4. acme.sh 未找到
+
+如果提示 `acme.sh: command not found`：
+
+```bash
+# 检查安装位置
+ls -la ~/.acme.sh/
+
+# 添加到 PATH
+export PATH="$HOME/.acme.sh:$PATH"
+
+# 或使用完整路径
+~/.acme.sh/acme.sh --version
+```
+
+## 安全建议
+
+1. **最小权限原则**：为 RAM 用户仅授予必要的 DNS 管理权限
+2. **定期轮换密钥**：建议每 3-6 个月更换一次 AccessKey
+3. **保护私钥**：证书私钥文件权限应设置为 600，仅 root 可读
+4. **监控续期**：定期检查证书续期是否成功
+5. **备份证书**：定期备份证书文件到安全位置
+
+## 相关资源
+
+- [acme.sh 官方文档](https://github.com/acmesh-official/acme.sh)
+- [阿里云 DNS API 文档](https://help.aliyun.com/document_detail/29739.html)
+- [Let's Encrypt 文档](https://letsencrypt.org/docs/)
+
+## 常见问题
+
+### Q: 证书有效期是多久？
+
+A: Let's Encrypt 证书有效期为 90 天，acme.sh 会在到期前 30 天自动续期。
+
+### Q: 续期会影响服务吗？
+
+A: 不会。续期后会自动重新加载 nginx，不会中断服务。
+
+### Q: 可以申请通配符证书吗？
+
+A: 可以。acme.sh 支持通配符证书，使用 `-d "*.example.com"` 参数即可。
+
+### Q: 如何查看证书信息？
+
+A: 使用以下命令：
+
+```bash
+openssl x509 -in /etc/nginx/ssl/tools.qxtool.vip.crt -noout -text
+```
+
+### Q: 证书申请需要多长时间？
+
+A: 通常 1-3 分钟，取决于 DNS 记录传播速度。
+
+### Q: 遇到 "Error adding TXT record" 错误怎么办？
+
+A: 这通常表示阿里云 DNS API 调用失败。请按以下步骤排查：
+
+1. **检查权限**：确认 RAM 用户拥有 DNS 管理权限
+2. **确认域名**：确认域名在阿里云 DNS 控制台已添加
+3. **验证凭证**：检查 AccessKey 是否正确且已启用
+4. **查看日志**：运行 `tail -100 ~/.acme.sh/acme.sh.log` 查看详细错误
+5. **使用调试模式**：使用 `--debug` 参数重新运行脚本
+
+如果问题仍然存在，请检查：
+
+- 网络连接是否正常
+- 阿里云 API 服务是否可用
+- 是否有防火墙或安全组限制