证书颁发机构选择
主流免费SSL证书服务商包括:
- Let’s Encrypt:提供90天有效期的通配符证书,需配合自动化工具续签
- JoySSL:支持自动续期服务,注册时使用特定代码可获得通配符证书权限
- ZeroSSL:通过acme.sh脚本可实现自动化管理
申请流程详解
以Let’s Encrypt为例的通用申请步骤:
- 安装certbot工具:
yum install certbot - 执行证书签发命令:
certbot certonly --webroot -w /var/www/html -d example.com - 完成域名验证(DNS记录或文件验证)
- 下载生成的证书文件(包含fullchain.pem和privkey.pem)
自动续期配置
推荐使用acme.sh实现自动化管理:
curl https://get.acme.sh | sh
acme.sh --issue --dns dns_dp -d example.com -d *.example.com
acme.sh --install-cert -d example.com \
--key-file /etc/nginx/ssl/example.key \
--fullchain-file /etc/nginx/ssl/fullchain.cer
宝塔面板用户可通过可视化界面配置阿里云API密钥实现自动续签
维护建议
- 定期检查证书有效期:
openssl x509 -noout -dates -in cert.pem - 保留CSR文件和私钥备份
- 监控续期日志:
journalctl -u certbot - 及时更新acme.sh等工具版本
通过选择合适的证书颁发机构并配置自动化工具,可有效实现免费SSL证书的全生命周期管理。建议优先采用Let’s Encrypt+acme.sh组合方案,兼顾稳定性和维护便利性。
