寒雨馨的个人博客
large picture of the cover

certbot续签教程

使用 Certbot 实现 SSL 证书的自动化续签

在现代互联网中,网站的安全性至关重要。启用 HTTPS 是保护用户数据和提升信任度的基本要求。而 Let's Encrypt 提供的免费 SSL/TLS 证书以及 Certbot 工具,使得获取和维护这些证书变得简单高效。本文将介绍如何使用 Certbot 自动化申请和续签 SSL 证书。

一、什么是 Certbot?

Certbot 是由 Electronic Frontier Foundation(EFF) 开发的一款开源工具,用于自动化从 Let's Encrypt 获取和续签 SSL/TLS 证书。它支持多种 Web 服务器(如 Apache 和 Nginx),并且可以自动配置 HTTPS 设置,极大地简化了 SSL 管理流程。

二、为什么选择 Certbot?

  • 完全免费:Let's Encrypt 提供的证书是免费的。
  • 自动化管理:Certbot 可以自动完成证书申请、验证、安装和续签。
  • 广泛兼容:支持主流 Web 服务器和操作系统(Linux、macOS、Docker 等)。
  • 社区活跃:拥有庞大的开发者和用户社区,文档齐全、更新频繁。

三、Certbot 的工作原理

Certbot 利用 ACME 协议(Automatic Certificate Management Environment)与 Let's Encrypt 的服务器通信,主要流程如下:

  1. 生成私钥和 CSR(Certificate Signing Request)
  2. 域名验证
    • HTTP-01 挑战:Certbot 在你的 Web 服务器上放置一个临时文件,Let's Encrypt 会访问该文件进行验证。
    • DNS-01 挑战:通过 DNS 添加特定记录来验证域名所有权。
  3. 获取证书并安装
  4. 设置定时任务自动续签

四、安装 Certbot

以下以 Ubuntu 系统和 Nginx 为例,展示安装过程:

# 安装 Certbot 及其 Nginx 插件
sudo apt update
sudo apt install certbot python3-certbot-nginx

如果你使用的是 Apache:

sudo apt install certbot python3-certbot-apache

五、申请 SSL 证书

运行以下命令即可为你的域名申请证书:

sudo certbot --nginx -d example.com -d www.example.com

如果你使用 Apache,则替换 --nginx--apache

Certbot 会自动完成以下操作:

  • 验证域名所有权
  • 生成证书
  • 修改 Nginx/Apache 配置以启用 HTTPS
  • 重定向 HTTP 到 HTTPS

六、手动方式申请证书(适用于非标准环境)

如果你使用的是不被 Certbot 支持的服务器(如自定义反向代理或静态站点),可以使用“standalone”模式:

sudo certbot certonly --standalone -d example.com

这将在本地启动一个临时 Web 服务用于验证。

七、配置自动续签

Let's Encrypt 的证书有效期为 90 天,因此需要配置自动续签。

Certbot 默认会在安装时配置好 cron 或 systemd 定时任务。你可以手动测试续签流程:

sudo certbot renew --dry-run

如果测试成功,说明自动续签机制已正常工作。

八、常见问题与解决方案

1. 端口冲突

Certbot 的 standalone 模式需要占用 80/443 端口,请确保没有其他服务占用这些端口。

2. 域名解析失败

确保域名已正确指向服务器 IP,并且 DNS 解析正常。

3. 续签失败

检查 /etc/letsencrypt/renewal/example.com.conf 文件是否配置正确,也可以查看日志 /var/log/letsencrypt/letsencrypt.log

九、进阶功能

1. DNS API 自动化验证

对于动态 IP 或 CDN 环境,可以使用 DNS API 进行验证。例如使用 Cloudflare:

sudo certbot certonly --dns-cloudflare --dns-cloudflare-credentials ~/.secrets/certbot/cloudflare.ini -d *.example.com -d example.com

需提前安装插件:

sudo apt install python3-certbot-dns-cloudflare

2. 多域名通配符证书

Certbot 支持通配符证书(wildcard certificate),但必须使用 DNS 验证:

sudo certbot certonly --dns-plugin --dns-plugin-credentials /path/to/creds -d "*.example.com" -d "example.com"

Certbot 是一款强大且易于使用的 SSL 证书管理工具,特别适合中小型网站和 DevOps 场景。通过自动化申请和续签,大大减少了运维负担,同时保障了网站的安全性和可用性。无论你是个人博客还是企业级应用,Certbot 都是一个值得信赖的选择。

site logo

© 2025 寒雨馨的个人博客