一、选择证书类型
主流通配符证书支持泛域名(*.example.com)和单域名两种类型。Let’s Encrypt提供90天有效期的免费证书,而JoySSL支持无限续签的永久免费证书。对于需要长期维护的网站,建议选择支持自动续期的解决方案。
二、证书申请流程
以acme.sh工具和JoySSL平台为例,具体操作步骤:
- 安装工具:
curl https://get.acme.sh | sh - 注册账号:
acme.sh --register-account -m your@email.com - 域名解析验证:通过DNS添加TXT记录完成所有权验证
- 签发证书:
acme.sh --issue --dns dns_dp -d example.com -d *.example.com
三、自动续期配置
实现自动续期的关键步骤:
- 设置定时任务:
crontab -e添加自动续期命令 - 证书安装路径:
acme.sh --install-cert -d example.com --key-file /path/to/key - Web服务器重载:配置Nginx/Apache自动加载新证书
| 工具 | 有效期 | 验证方式 |
|---|---|---|
| acme.sh | 90天 | DNS/HTTP |
| JoySSL | 永久 | DNS/TXT |
四、注意事项
需特别注意的运维要点:
- DNS API密钥需设置访问权限
- 证书文件建议每月备份
- 泛域名证书不支持多级子域名
通过acme.sh或JoySSL工具链,结合定时任务与DNS验证机制,可高效实现免费SSL证书的全生命周期管理。建议生产环境优先选择支持自动续期的方案,并建立证书监控告警机制。
