Linux免费SSL证书申请及Certbot使用指南

本文详细介绍了如何在Linux服务器上使用Certbot工具免费获取并自动部署Let’s Encrypt SSL证书，全程适配Nginx环境：从安装Certbot及其Nginx插件、验证域名解析与Web服务状态，到一键申请证书并自动配置HTTPS重定向，再到测试和确认自动续期机制及证书文件更新，手把手带你零门槛启用安全可靠的HTTPS访问——无需付费、无需手动改配置，90天证书到期前自动续签，让网站安全防护既简单又稳定。

如果您希望在Linux服务器上为Nginx站点启用HTTPS，但尚未配置SSL证书，则可通过Certbot工具从Let’s Encrypt免费获取并自动部署证书。以下是完成证书申请、安装Certbot及配置Nginx自动续期的具体操作步骤：

一、安装Certbot及Nginx插件

Certbot是Let’s Encrypt官方推荐的ACME客户端，其Nginx插件可自动修改配置并重载服务，避免手动干预Nginx配置文件。需确保系统已启用EPEL（CentOS/RHEL）或具备snap支持（Ubuntu/Debian较新版本）。

1、对于Ubuntu 20.04及以上版本，运行：sudo apt update && sudo apt install certbot python3-certbot-nginx

2、对于CentOS 8/RHEL 8，先启用EPEL源后执行：sudo dnf install epel-release && sudo dnf install certbot python3-certbot-nginx

3、对于未预装snap的旧版系统（如Ubuntu 18.04），可改用snap安装：sudo snap install --classic certbot && sudo ln -s /snap/bin/certbot /usr/bin/certbot

二、验证Nginx配置与域名解析状态

在申请证书前，Certbot需通过HTTP-01挑战验证您对域名的控制权。这要求Nginx已正确监听80端口，且目标域名A记录已解析至当前服务器IP，并能被公网访问。

1、检查Nginx是否运行：sudo systemctl is-active nginx

2、确认站点server块中包含有效server_name，例如：server_name example.com www.example.com;

3、使用dig命令验证DNS解析：dig +short example.com A，输出应为当前服务器公网IP

三、使用Certbot为Nginx站点申请并部署证书

Certbot的--nginx模式会自动检测Nginx配置、插入SSL指令、更新证书路径，并重载服务，全程无需手动编辑conf文件。

1、执行交互式申请命令：sudo certbot --nginx -d example.com -d www.example.com

2、按提示输入邮箱地址用于紧急通知（非强制但建议填写）

3、选择是否将HTTP请求自动重定向到HTTPS：2: Redirect - Make all requests redirect to secure HTTPS access

四、手动测试证书自动续期功能

Let’s Encrypt证书有效期为90天，Certbot默认配置了systemd timer或cron任务定期执行续期检查。手动运行可验证流程是否就绪，避免到期失效。

1、模拟续期过程（不实际更新）：sudo certbot renew --dry-run

2、若返回“Congratulations, all simulated renewals succeeded”，说明配置正常

3、查看系统级定时任务是否存在：sudo systemctl list-timers | grep certbot（systemd环境）或sudo crontab -l | grep certbot（cron环境）

五、检查证书文件位置与Nginx配置变更

成功部署后，Certbot将证书文件存于/etc/letsencrypt/live/目录下，并自动更新Nginx server块中的ssl_certificate与ssl_certificate_key指令，指向对应符号链接。

1、确认证书路径有效性：sudo ls -l /etc/letsencrypt/live/example.com/，应包含fullchain.pem与privkey.pem

2、检查Nginx配置是否已注入SSL参数：sudo nginx -T 2>/dev/null | grep -A5 "ssl_certificate"

3、验证HTTPS响应头：curl -I https://example.com，响应中应含HTTP/2 200及Strict-Transport-Security字段

终于介绍完啦！小伙伴们，这篇关于《Linux免费SSL证书申请及Certbot使用指南》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！