一、选择SSL证书生成工具
主流免费SSL证书生成工具包含以下三种方案:
- Certbot
Let’s Encrypt官方推荐工具,支持Nginx/Apache自动部署 - acme.sh
支持DNS API验证的脚本工具,适用泛域名证书 - JoySSL
提供中文界面和自动续期服务,需注册码激活
二、在线生成SSL证书步骤
以Certbot在Ubuntu系统为例:
- 安装依赖环境:
sudo apt install certbot python3-certbot-nginx - 执行证书生成命令:
sudo certbot --nginx -d example.com - 完成域名验证(HTTP文件或DNS记录)
- 自动配置Nginx证书路径
使用acme.sh生成泛域名证书需配置DNS API密钥,支持Cloudflare/DNSPod等平台。
三、配置自动续期方案
通过crontab实现自动续期:
0 3 */7 * * /usr/bin/certbot renew --quiet宝塔面板用户需注意:
- 关闭强制HTTPS和反向代理后执行续签
- 建议开启到期邮件提醒功能
JoySSL用户可通过控制台设置自动续期周期。
四、常见问题处理
证书部署失败排查要点:
- 确认服务器443端口已开放
- 检查域名解析是否生效(TTL值影响)
- 验证私钥文件与证书匹配性
自动续期失败时,建议手动执行certbot renew --dry-run测试验证流程。
通过Certbot或acme.sh可快速生成免费SSL证书,配合cron定时任务实现自动续期。JoySSL等商业方案提供可视化操作界面,适合不熟悉命令行用户。定期检查证书状态和工具版本更新是保障HTTPS服务稳定的关键。
