本文手把手教你如何在 Linux 上使用 Certbot 配置 HTTPS，包括安装 Certbot、修改 Nginx 配置、设置 server_name、申请证书及证书续期。

文章内容

C 一. 安装 Certbot

我用的 Alibaba Cloud Linux 3 操作系统（类似于 rhel fedora centos anolis），安装工具用 dnf / yum ：

1.1 获取软件源最新包信息

在安装之前，需要获取软件源最新包信息，确保包管理系统使用的是 最新的 、有效的软件包数据。否则可能会遇到 包管理错误或无法安装最新的 #技术分享 #掘金软件版本 的问题。

dnf update

C 1.2 安装 Certbot 和 Nginx 插件

• certbot 是 Let’s Encrypt 提供的一个工具，用于自动化证书的获取、安装和续期
• python3-certbot-nginx 是为 Nginx 配置 SSL 证书的插件。

yum install certbot python3-certbot-nginx

二. 前期准备

2.1 确保nginx配置文件为 UTF-8 编码

Certbot 只能正确处理 UTF-8 编码的文件（否则在在2.4步骤会报：Could not read file: /etc/nginx/nginx.conf due to invalid character. Only UTF-8 encoding is supported. ），使用 file 命令检查文件的编码：

file /etc/nginx/nginx.conf

如果不是 UTF-8 ，则使用 iconv 命令可以转换文件编码：

iconv -f <原编码> -t utf-8 <输入文件> -o <输出文件>

所以我这里要将 ISO-8859 转为 utf-8 ：

iconv -f ISO-8859-1 -t UTF-8 /etc/nginx/nginx.conf -o /etc/nginx/nginx.conf

检查一下，已成功转为 utf-8 ：

2.2 配置 nginx 的 server_name

Certbot 的 --nginx 插件依赖 server_name 来确定将证书应用到哪个站点，如果没有明确配置 server_name ，它无法自动完成安装：

配置 server_name ：

server {
    listen       80
    listen       [::]:80

+    server_name  minijude.cn www.minijude.cn
    root         /home

include /etc/nginx/default.d/*.conf

error_page 404 /404.html location = /40x.html { }

error_page 500 502 503 504 /50x.html location = /50x.html { } }

2.3 提供你的邮箱

Certbot 在申请证书时需要注册一个账户，并要求提供一个电子邮件地址，用于：

• 接收 Let’s Encrypt 关于证书续期或安全问题的通知。
• 作为联系你的方式（例如证书即将过期的提醒）。

不提供邮箱会报错：An e-mail address or
--register-unsafely-without-email must be provided. 。

你可以选择绕过（ 不推荐 ）：

certbot --nginx -d minijude.cn -d www.minijude.cn --register-unsafely-without-email

使用 --email 来提供邮箱：

certbot --nginx -d minijude.cn -d www.minijude.cn --email 1546985690@qq.com

三. 获取 SSL 证书

以上前期准备都完成后，就可以使用 Certbot 来为你的域名申请 SSL 证书了。

sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

这将 自动生成 SSL 证书 并 修改你的 Nginx 配置文件 来启用 HTTPS。Certbot 会与 Let’s Encrypt 通信，验证你对域名的所有权，并颁发证书。

3.1 自动生成 SSL 证书位置

• 证书路径： /etc/letsencrypt/live/你的域名/fullchain.pem
• 私钥路径： /etc/letsencrypt/live/你的域名/privkey.pem

3.2 修改 Nginx 配置文件，修改了哪些？

server {

-        listen       80

-        listen       [::]:80
        server_name  minijude.cn www.minijude.cn
        root         /home

include /etc/nginx/default.d/*.conf error_page 404 /404.html location = /40x.html { }

error_page 500 502 503 504 /50x.html location = /50x.html { }

+        listen [::]:443 ssl ipv6only=on

+        listen 443 ssl

+        ssl_certificate /etc/letsencrypt/live/minijude.cn/fullchain.pem

+        ssl_certificate_key /etc/letsencrypt/live/minijude.cn/privkey.pem

+        include /etc/letsencrypt/options-ssl-nginx.conf

+        ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem


    }

+
+

+
+

+
+

+
+

+
+

+
+

+
+

+
+

+
+

+
+

+
+

+
+

+
+

+     server {

+         if ($host = www.minijude.cn) {

+             return 301 https://$host$request_uri

+         }

+

+

+         if ($host = minijude.cn) {

+             return 301 https://$host$request_uri

+         }

+

+

+             listen       80

+             listen       [::]:80

+             server_name  minijude.cn www.minijude.cn

+         return 404

+
+     }

四. 自动续期

Let's Encrypt 证书的有效期为 90 天，但 Certbot 会在你安装时自动创建一个续期任务，可以手动测试续期：

sudo certbot renew --dry-run

如果测试通过，自动续期将在每天运行一次，确保证书不会过期。

--- 以上这就是为 Linux Web 服务器配置 HTTPS 证书的基本步骤。

五. 进阶-为域名和所有子域名申请通用的证书

每次当需要扩展一个新的子域名时候，都需要申请一个 ssl 证书，那能否申请一个通用的证书？

可以的，下面请看实操：

5.1 运行 manual 模式的 certbot 命令

certbot certonly --manual --preferred-challenges dns -d "*.example.com" -d example.com

• --manual ：手动模式，不依赖 DNS API
• --preferred-challenges dns ：指定使用 DNS 验证
• -d 后面列出你要包含的域名

5.2 添加一条 TXT 类型的域名解析记录

红框部分意思让我们去配置一个 TXT 的记录，name 和 value 都告诉我们了，于是我到域名列表中添加一条解析：

按 enter 继续：

红框意思是可以从
toolbox.googleapps.com/apps/dig/#T… 这里网址查看你刚刚配置的是否生效。

然后成功：

然后就可以在 nginx 中添加一个子域名的 server 块：

server {
    listen 443 ssl;
    ssl_certificate /etc/letsencrypt/live/xxx/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/xxx/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

server_name wechat.fengxingmedia.com www.wechat.fengxingmedia.com;

location / { proxy_pass http://127.0.0.1:3000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }

最后别忘了 systemstl reload nginx ，再配置一条目标域名的解析记录：

```

5.3 证书过期重新申请

certbot certonly --manual --preferred-challenges dns  -d example.cn -d *.example.cn --renew-by-default

后续步骤一致。

```