###SmallArticleTitle###
来源:cloud.tencent.com; 编辑:xjh; 2025-06-24
在如今的互联网环境中,为网站配置 SSL 证书已成为安全的标配。本文将介绍如何使用 Let’s Encrypt 免费获取泛域名 SSL 证书,并实现自动续期,为你的网站保驾护航。
什么是 Let’s Encrypt
部署 HTTPS 网站的时候需要证书,证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 HTTPS 协议的使用。
Let’s Encrypt 也是一个 CA 机构,但这个 CA 机构是免费的! 也就是说签发证书不需要任何费用。
Let’s Encrypt 是国外一个公共的免费 SSL 项目,由 Linux 基金会托管。由 Mozilla、思科、Akamai、IdenTrust 和 EFF 等组织发起,目的就是向网站自动签发和管理免费证书。以便加速互联网由 HTTP 过渡到 HTTPS,目前 Facebook 等大公司开始加入赞助行列。
Let’s Encrypt 已经得了 IdenTrust 的交叉签名,这意味着其证书现在已经可以被 Mozilla、Google、Microsoft 和 Apple 等主流的浏览器所信任。用户只需要在 Web 服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let’s Encrypt 安装简单,使用非常方便。
什么是泛域名证书
泛域名证书类似 DNS 解析的泛域名概念,泛域名证书就是证书中可以包含一个通配符。主域名签发的泛域名证书可以在所有子域名中使用,比如 demo.domain.com,bbs.domain.com。这样就一张证书可以用于更多的主机了。
如何申请 Let’s Encrypt 泛域名证书
Let’s Encrypt 上的证书申请是通过 ACME 协议来完成的。ACME 协议规范化了证书申请、更新、撤销等流程,实现了 Let’s Encrypt CA 自动化操作。解决了传统的 CA 机构是人工手动处理证书申请、证书更新、证书撤销的效率和成本问题。
ACME v2 是 ACME 协议的更新版本,泛域名证书只能通过 ACME v2 获得。要使用 ACME v2 协议申请泛域名证书,只需一个支持该协议的客户端就可以了,官方推荐的客户端是 Certbot。
Certbot 的工作原理
Certbot 是一个命令行工具,用于自动化整个 SSL 证书的管理流程。它可以做以下几件事:
·申请证书:使用 ACME 协议从 Let’s Encrypt 获取证书。
·验证域名所有权:通过 HTTP-01 或 DNS-01 验证确保你拥有该域名。
·安装证书:将证书自动安装到你的 Web 服务器,并配置相关的加密参数。
·续期证书:定期自动续期证书,避免证书过期。
Certbot 的核心工作是通过 ACME 协议(自动证书管理环境)与 Let’s Encrypt 通信。ACME 是一套标准协议,用于自动化证书申请、验证和安装的过程。Certbot 使用 ACME 协议与 Let’s Encrypt 进行通信,确保你的网站能够通过安全的 HTTPS 连接。
安装Certbot
Certbot 是由 Electronic Frontier Foundation (EFF) 提供的一个开源工具,用于自动化从 Let’s Encrypt 获取和管理 SSL 证书。Certbot 会自动为你处理证书申请、安装和续期等过程。
如果没有下载安装过Certbot,先下载Certbot客户端。
如果已经安装了Certbot,查看下自己的Certbot客户端是不是支持 ACME v2 版本,官方介绍 Certbot 0.22.0 版本支持新的协议版本。
客户在申请 Let’s Encrypt 证书的时候,需要校验域名的所有权,证明操作者有权利为该域名申请证书,目前支持三种验证方式:
·dns-01:给域名添加一个 DNS TXT 记录。
·http-01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件。
·tls-sni-01:在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件。
申请泛域名证书,只能使用 dns-01 的方式。
使用 Certbot 客户端申请证书方法比较的简单,输入相关命令,详见参考文献:
Google Trust Services
Google Cloud在2022年3月30号推出了Google 公共证书。Google Trust Services:通过提供透明、可信和可靠的证书颁发机构来帮助构建更安全的互联网。其功能与Let’s Encrypt基本一样,我们也可以通过它直接申请证书。目前支持泛域名和多域名的申请,证书有效期为90天。
参考:
https://cloud.tencent.com/developer/article/2277463
Let’s Encrypt 证书颁发原理/Certbot 的工作原理
https://www.cnblogs.com/sexintercourse/p/18839357
Let’s Encrypt 官方网站 https://letsencrypt.org/
Certbot 官方文档 https://eff-certbot.readthedocs.io/en/stable/