一、选择证书生成工具
使用Let’s Encrypt免费SSL证书是最快捷的解决方案,其提供自动化工具Certbot,支持主流操作系统和Web服务器。Certbot可自动完成证书申请、验证和部署流程,无需手动配置。
安装Certbot的步骤如下(以Ubuntu为例):
- 更新软件源:
sudo apt update - 安装Certbot:
sudo apt install certbot python3-certbot-nginx
二、生成证书与密钥
执行以下命令生成证书(以Nginx为例):
sudo certbot --nginx -d wu123.cn -d www.wu123.cn该命令将:
- 自动创建2048位RSA私钥
- 生成CSR文件并提交验证请求
- 通过DNS或HTTP方式验证域名所有权
三、验证与部署到服务器
验证成功后,Certbot会自动完成以下操作:
- 将证书文件存储于
/etc/letsencrypt/live/域名/ - 修改Nginx配置启用HTTPS监听
- 设置HTTP到HTTPS的自动跳转
部署后需测试证书有效性:
sudo nginx -t && sudo systemctl reload nginx四、配置自动更新
Let’s Encrypt证书有效期为90天,通过crontab添加定时任务:
0 0 */7 * * certbot renew --quiet --post-hook "systemctl reload nginx"该配置每7天检查续期,更新后自动重载Nginx服务。
通过Certbot工具可在10分钟内完成SSL证书生成、验证和部署,配合自动化续期方案可永久保持HTTPS有效性。相比商业证书方案,该方法零成本且安全性经过全球验证。
