一、环境准备与工具安装
使用Let’s Encrypt生成SSL证书需安装Certbot客户端。在Ubuntu系统中可通过以下命令完成安装:
sudo apt update
sudo apt install certbot python3-certbot-nginx该工具支持Nginx/Apache等主流服务器,安装完成后需确保服务器80/443端口对外开放。
二、SSL证书生成流程
执行证书生成命令时需指定域名和服务器类型:
- 单域名生成:
sudo certbot --nginx -d example.com - 泛域名生成:
sudo certbot certonly --manual --preferred-challenges dns -d *.example.com
DNS验证需按要求添加TXT记录,证书文件默认存储在/etc/letsencrypt/live/目录。
三、配置自动续期策略
通过crontab实现证书自动续期:
- 查看现有定时任务:
crontab -l - 添加每日续期检查:
0 0 */7 * * certbot renew --quiet
Certbot内置自动续期机制,续期前30天会自动触发更新流程。对于非Nginx服务器,可通过acme.sh脚本实现跨平台管理。
四、测试与维护建议
完成配置后需执行模拟续期测试:
sudo certbot renew --dry-run建议定期执行以下维护操作:
- 检查
/var/log/letsencrypt/日志文件 - 备份
/etc/letsencrypt/目录密钥 - 每季度验证证书链完整性
对于需要长期免维护的场景,可考虑JoySSL等支持自动续签的商业服务。
通过Let’s Encrypt与Certbot组合方案,配合系统定时任务可实现SSL证书的全生命周期管理。建议将续期命令与服务器重载配置相结合,确保更新后服务即时生效。定期审计证书状态和日志文件,是保障HTTPS服务可靠性的关键措施。
