使用Let’s Encrypt免费SSL证书申请

0469
Let’s Encrypt是目前最主流的免费SSL证书提供商,证书有效期为90天,支持自动续期。我用它给雨云服务器上的站点配过多次HTTPS,稳定,没出过问题。 核心工具是Certbot,ACME客户端之一,由EFF维护。直接安装使用就行。 安装Certbot Ubuntu/Debian系统: 
sudo apt update
sudo apt install certbot python3-certbot-nginx
如果用的是Apache,把nginx换成apache。CentOS/RHEL用yum或dnf。 申请证书 Certbot支持多种验证方式,最常用的是HTTP验证和DNS验证。 HTTP验证(推荐,自动配置Nginx) 前提:域名已经解析到服务器IP,80端口可访问。 
sudo certbot --nginx -d example.com -d www.example.com
这条命令会自动修改Nginx配置,添加SSL相关指令。如果只想拿证书,不自动配置: 
sudo certbot certonly --nginx -d example.com -d www.example.com
证书文件生成在 /etc/letsencrypt/live/example.com/ 目录下: – fullchain.pem: 完整证书链 – privkey.pem: 私钥 DNS验证(泛域名证书或无法80端口的情况) 需要手动添加TXT记录,适合内网、CDN场景。 
sudo certbot certonly --manual --preferred-challenges dns -d *.example.com -d example.com
按照提示去DNS服务商处添加_acme-challenge.example.com的TXT记录,值就是提示的那串。生效后回车继续。 自动续期 Let’s Encrypt证书90天过期,必须自动续。Certbot自带续期命令: 
sudo certbot renew
测试续期是否正常: 
sudo certbot renew --dry-run
配上cron或systemd timer,让它每天跑一次。只有证书到期前30天内才会真正续期,不会重复申请。 crontab写法: 
0 3 * * * /usr/bin/certbot renew --quiet
每天凌晨3点执行,–quiet表示成功时不输出日志,只有出错才报。 Nginx配置示例 如果Certbot没有自动配置Nginx,手动写一个SSL server块: 
server {
    listen 443 ssl;
    server_name example.com www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    # 现代安全配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    location / {
        proxy_pass http://127.0.0.1:8080;
        # 其他反向代理配置
    }
}

# 强制HTTP跳转HTTPS
server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}
常见问题 1. 申请失败:检查域名解析是否生效,80端口是否开放。Let’s Encrypt服务器需要访问你的80端口做验证。 2. 续期失败:检查证书文件权限,Certbot需要读取私钥。或者DNS验证时TXT记录被删了。 3. 证书过期:cron没跑起来。手动执行certbot renew看看报什么错。 4. 多域名:-d参数可以写多个,逗号分隔或重复-d。 5. 速率限制:每个域名每周50个证书,正常用不会超。如果频繁申请测试,用staging环境: 
sudo certbot --staging -d example.com
staging证书浏览器不认,只用来测试流程。 用雨云服务器的话,申请完证书直接配好HTTPS,性价比高,稳定,不用操心续期问题。配好自动续期后基本不用管。

雨云是国内一家老牌云服务商,提供高性价比的云服务器和虚拟主机。我用它部署了好几个项目,速度和稳定性都不错。通过 https://www.rainyun.com/SAJA_ 注册可以领一张 5折优惠券,有需要的朋友可以看看。

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
未分类
喜欢就支持一下吧
点赞9 分享
阿杰的头像-阿杰の博客钻石会员
搭建自己的RSS订阅服务-阿杰の博客
搭建自己的RSS订阅服务
搭建自己的RSS订阅服务
28天前 88
Linux服务器常用命令大全-阿杰の博客
Linux服务器常用命令大全
Linux服务器常用命令大全
28天前 71
SSH密钥登录配置教程-阿杰の博客
SSH密钥登录配置教程
SSH密钥登录配置教程
28天前 68
独立博客如何获取第一批流量-阿杰の博客
独立博客如何获取第一批流量
独立博客如何获取第一批流量
28天前 55
Linux服务器入门命令大全-阿杰の博客
Linux服务器入门命令大全
Linux服务器入门命令大全
28天前 54
如何写出SEO友好的文章-阿杰の博客
如何写出SEO友好的文章
如何写出SEO友好的文章
14天前 54
相关推荐
搭建自己的RSS订阅服务-阿杰の博客
搭建自己的RSS订阅服务
搭建自己的RSS订阅服务
28天前 88
Linux服务器常用命令大全-阿杰の博客
Linux服务器常用命令大全
Linux服务器常用命令大全
28天前 71
SSH密钥登录配置教程-阿杰の博客
SSH密钥登录配置教程
SSH密钥登录配置教程
28天前 68
独立博客如何获取第一批流量-阿杰の博客
独立博客如何获取第一批流量
独立博客如何获取第一批流量
28天前 55
Linux服务器入门命令大全-阿杰の博客
Linux服务器入门命令大全
Linux服务器入门命令大全
28天前 54
如何写出SEO友好的文章-阿杰の博客
如何写出SEO友好的文章
如何写出SEO友好的文章
14天前 54
评论 抢沙发

请登录后发表评论

    暂无评论内容