本文记录一次 *.leafkingofficial.top 泛域名证书过期后的紧急续期过程。适用于：

• Windows Server
• Win-ACME（wacs）
• 阿里云 DNS
• Nginx / Apache 使用 PEM 证书
• 自动续期失效，需要临时手动续期

问题现象

网站突然出现：

您的连接不是私密连接
NET::ERR_CERT_DATE_INVALID

或者：

证书已过期

在 Win-ACME 中查看发现：

Error preparing for challenge answer
No certificate generated

阿里云 DNS 插件报错：

Specified signature does not match our calculation

导致自动续期失败。

原因分析

Win-ACME 的阿里云 DNS 插件可能由于：

• AccessKey 配置问题
• 插件版本兼容问题
• 阿里云 API 签名变更

导致无法自动创建 DNS TXT 验证记录。

此时最稳妥的方法是：

改用手动 DNS 验证

先把证书签出来恢复网站。

第一步：启动 Win-ACME

进入 Win-ACME 目录：

wacs.exe

选择：

M: Create certificate (full options)

第二步：选择域名来源

选择：

2: Manual input

输入：

*.leafkingofficial.top,leafkingofficial.top

这样一张证书同时覆盖：

leafkingofficial.top
www.leafkingofficial.top
api.leafkingofficial.top
openclaw.leafkingofficial.top

以及所有一级子域。

第三步：选择证书模式

选择：

4: Single certificate

即：

一张证书覆盖所有域名

第四步：选择验证方式

由于泛域名证书：

*.leafkingofficial.top

只能使用 DNS 验证。

选择：

7: [dns] Create verification records manually

不要选择 HTTP 验证。

第五步：选择密钥类型

推荐：

2: RSA key

兼容性最好。

第六步：导出 PEM 文件

选择：

2: PEM encoded files (Apache, nginx, etc.)

保存目录例如：

C:\Users\Administrator\Desktop\Certs\wildcard

私钥密码选择：

1: None

第七步：跳过安装步骤

选择：

3: No (additional) installation steps

因为：

• 没有 IIS
• 使用 Nginx
• 手动部署证书

第八步：DNS 验证

Win-ACME 会输出类似：

Domain: leafkingofficial.top

Record:
_acme-challenge.leafkingofficial.top

Type:
TXT

Content:
xxxxxxxxxxxxxxxxxxxxxxxx

第九步：登录阿里云 DNS

进入：

阿里云云解析 DNS

找到：

leafkingofficial.top

添加 TXT 记录：

保存。

第十步：等待解析生效

通常：

30秒 ~ 2分钟

即可。

确认 TXT 已存在后：

返回 Win-ACME。

按：

Enter

继续。

第十一步：签发成功

出现：

Authorization result: valid

以及：

Downloading certificate

说明验证通过。

随后：

Store with PemFiles...
Exporting .pem files

证书会导出到：

C:\Users\Administrator\Desktop\Certs\wildcard

生成的文件

目录内通常包含：

cert.pem
chain.pem
fullchain.pem
privkey.pem

其中：

Nginx 配置

推荐：

server {
    listen 443 ssl;
    server_name leafkingofficial.top;

    ssl_certificate     C:/Users/Administrator/Desktop/Certs/wildcard/fullchain.pem;
    ssl_certificate_key C:/Users/Administrator/Desktop/Certs/wildcard/privkey.pem;
}

不要使用：

ssl_certificate cert.pem;

否则部分客户端会缺少证书链。

重载 Nginx

检查配置：

nginx -t

重载：

nginx -s reload

或者：

net stop nginx
net start nginx

检查证书

浏览器查看证书应类似：

CN: *.leafkingofficial.top
Issuer: Let's Encrypt
Valid From: 2026-05-31
Valid To: 2026-08-29

注意事项

本方案属于：

手动 DNS 验证

因此：

无法自动续期

每次续期都需要：

1. Win-ACME 输出 TXT
2. 手动添加 TXT
3. 等待生效
4. 完成签发

适合：

网站证书已过期
需要立即恢复 HTTPS

的救急场景。

总结

本次问题本质上是：

阿里云 DNS 自动验证插件失效
↓
无法自动创建 TXT 记录
↓
Let's Encrypt 验证失败
↓
证书过期

解决方案：

Win-ACME
→ Manual DNS Validation
→ 阿里云手动添加 TXT
→ 获取新证书
→ Nginx Reload

这样即使自动续期彻底失效，也能在几分钟内重新获得有效的 Let's Encrypt 泛域名证书。