====================================================================================
=== Установка acme.sh:
====================================================================================
#
curl https://get.acme.sh | sh -s email=q@qq.com

====================================================================================
=== Получить\обновить сертификат с помощью acme:
====================================================================================
#
mkdir -p /var/www/webroot
mkdir /etc/ssl/acme

adduser cert
groupadd tls-cert
usermod -a -G tls-cert nginx
usermod -a -G tls-cert cert
chgrp -R tls-cert /etc/ssl/acme
chmod -R 770 /etc/ssl/acme

chown -R cert:cert /var/www/webroot

== visudo (разрешить непривилегированному пользователю выполнять команду для post-hook)==
cert ALL=NOPASSWD:/usr/bin/systemctl reload nginx

== user: cert ==
~/.acme.sh/acme.sh --issue -d example.com -w /var/www/webroot/ --server letsencrypt --cert-home /etc/ssl/acme --post-hook "sudo systemctl reload nginx; sudo chgrp -R tls-cert /etc/ssl/acme; sudo chmod -R 770 /etc/ssl/acme" --debug

== сделать линк каталога домена с ключом и сертификатами на домашний каталог acme. Если в домашней дире не будет каталога с доменом, то домен фактически не будет зарегистрирован в базе локальной инсталляции acme, поэтому обновлять сертификат для него через renew будет невозможно:
ln -s /etc/ssl/acme/example.com_ecc/ /home/cert/.acme.sh/example.com_ecc

====================================================================================
=== crontab для обновления сертификатов
====================================================================================

00 00 * * * /home/cert/.acme.sh/acme.sh --cron --home "/home/cert/.acme.sh" >> /home/cert/1.txt

====================================================================================
=== Отредактировать конфиг nginx:
====================================================================================
#
location ~ /.well-known {
    allow all;
}

====================================================================================
=== Команды acme для управления:
====================================================================================
#
== Просмотреть список доменов, для каких получены сертификаты:
~/.acme.sh/acme.sh --list

== Удалить домен из локальной базы (вручную нужно удалять каталог из кастомной диры для хранения ключа и сертификатов - в моём случае это /etc/ssl/acme)
~/.acme.sh/acme.sh --remove -d example.com