如何使用 Certbot 为域名配置永久免费的 HTTPS 证书
off999 2025-09-24 02:04 72 浏览 0 评论
本文手把手教你如何在 Linux 上使用 Certbot 配置 HTTPS,包括安装 Certbot、修改 Nginx 配置、设置 server_name、申请证书及证书续期。
文章内容
C 一. 安装 Certbot
我用的 Alibaba Cloud Linux 3 操作系统(类似于 rhel fedora centos anolis),安装工具用 dnf / yum :
1.1 获取软件源最新包信息
在安装之前,需要获取软件源最新包信息,确保包管理系统使用的是 最新的 、有效的软件包数据。否则可能会遇到 包管理错误或无法安装最新的 #技术分享 #掘金软件版本 的问题。
dnf update
C 1.2 安装 Certbot 和 Nginx 插件
- certbot 是 Let’s Encrypt 提供的一个工具,用于自动化证书的获取、安装和续期
- python3-certbot-nginx 是为 Nginx 配置 SSL 证书的插件。
yum install certbot python3-certbot-nginx
二. 前期准备
2.1 确保nginx配置文件为 UTF-8 编码
Certbot 只能正确处理 UTF-8 编码的文件(否则在在2.4步骤会报:Could not read file: /etc/nginx/nginx.conf due to invalid character. Only UTF-8 encoding is supported. ),使用 file 命令检查文件的编码:
file /etc/nginx/nginx.conf
如果不是 UTF-8 ,则使用 iconv 命令可以转换文件编码:
iconv -f <原编码> -t utf-8 <输入文件> -o <输出文件>
所以我这里要将 ISO-8859 转为 utf-8 :
iconv -f ISO-8859-1 -t UTF-8 /etc/nginx/nginx.conf -o /etc/nginx/nginx.conf
检查一下,已成功转为 utf-8 :
2.2 配置 nginx 的 server_name
Certbot 的 --nginx 插件依赖 server_name 来确定将证书应用到哪个站点,如果没有明确配置 server_name ,它无法自动完成安装:
配置 server_name :
server {
listen 80
listen [::]:80
+ server_name minijude.cn www.minijude.cn
root /home
include /etc/nginx/default.d/*.conf
error_page 404 /404.html location = /40x.html { }
error_page 500 502 503 504 /50x.html location = /50x.html { } }
2.3 提供你的邮箱
Certbot 在申请证书时需要注册一个账户,并要求提供一个电子邮件地址,用于:
- 接收 Let’s Encrypt 关于证书续期或安全问题的通知。
- 作为联系你的方式(例如证书即将过期的提醒)。
不提供邮箱会报错:An e-mail address or
--register-unsafely-without-email must be provided. 。
你可以选择绕过( 不推荐 ):
certbot --nginx -d minijude.cn -d www.minijude.cn --register-unsafely-without-email
使用 --email 来提供邮箱:
certbot --nginx -d minijude.cn -d www.minijude.cn --email 1546985690@qq.com
三. 获取 SSL 证书
以上前期准备都完成后,就可以使用 Certbot 来为你的域名申请 SSL 证书了。
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
这将 自动生成 SSL 证书 并 修改你的 Nginx 配置文件 来启用 HTTPS。Certbot 会与 Let’s Encrypt 通信,验证你对域名的所有权,并颁发证书。
3.1 自动生成 SSL 证书位置
- 证书路径: /etc/letsencrypt/live/你的域名/fullchain.pem
- 私钥路径: /etc/letsencrypt/live/你的域名/privkey.pem
3.2 修改 Nginx 配置文件,修改了哪些?
server {
- listen 80
- listen [::]:80
server_name minijude.cn www.minijude.cn
root /home
include /etc/nginx/default.d/*.conf error_page 404 /404.html location = /40x.html { }
error_page 500 502 503 504 /50x.html location = /50x.html { }
+ listen [::]:443 ssl ipv6only=on
+ listen 443 ssl
+ ssl_certificate /etc/letsencrypt/live/minijude.cn/fullchain.pem
+ ssl_certificate_key /etc/letsencrypt/live/minijude.cn/privkey.pem
+ include /etc/letsencrypt/options-ssl-nginx.conf
+ ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem
}
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+ server {
+ if ($host = www.minijude.cn) {
+ return 301 https://$host$request_uri
+ }
+
+
+ if ($host = minijude.cn) {
+ return 301 https://$host$request_uri
+ }
+
+
+ listen 80
+ listen [::]:80
+ server_name minijude.cn www.minijude.cn
+ return 404
+
+ }
四. 自动续期
Let's Encrypt 证书的有效期为 90 天,但 Certbot 会在你安装时自动创建一个续期任务,可以手动测试续期:
sudo certbot renew --dry-run
如果测试通过,自动续期将在每天运行一次,确保证书不会过期。
--- 以上这就是为 Linux Web 服务器配置 HTTPS 证书的基本步骤。
五. 进阶-为域名和所有子域名申请通用的证书
每次当需要扩展一个新的子域名时候,都需要申请一个 ssl 证书,那能否申请一个通用的证书?
可以的,下面请看实操:
5.1 运行 manual 模式的 certbot 命令
certbot certonly --manual --preferred-challenges dns -d "*.example.com" -d example.com
- --manual :手动模式,不依赖 DNS API
- --preferred-challenges dns :指定使用 DNS 验证
- -d 后面列出你要包含的域名
5.2 添加一条 TXT 类型的域名解析记录
红框部分意思让我们去配置一个 TXT 的记录,name 和 value 都告诉我们了,于是我到域名列表中添加一条解析:
按 enter 继续:
红框意思是可以从
toolbox.googleapps.com/apps/dig/#T… 这里网址查看你刚刚配置的是否生效。
然后成功:
然后就可以在 nginx 中添加一个子域名的 server 块:
server {
listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/xxx/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/xxx/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
server_name wechat.fengxingmedia.com www.wechat.fengxingmedia.com;
location / { proxy_pass http://127.0.0.1:3000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }
最后别忘了 systemstl reload nginx ,再配置一条目标域名的解析记录:
```
5.3 证书过期重新申请
certbot certonly --manual --preferred-challenges dns -d example.cn -d *.example.cn --renew-by-default
后续步骤一致。
```
相关推荐
- 安全教育登录入口平台(安全教育登录入口平台官网)
-
122交通安全教育怎么登录:122交通网的注册方法是首先登录网址http://www.122.cn/,接着打开网页后,点击右上角的“个人登录”;其次进入邮箱注册,然后进入到注册页面,输入相关信息即可完...
- 大鱼吃小鱼经典版(大鱼吃小鱼经典版(经典版)官方版)
-
大鱼吃小鱼小鱼吃虾是于谦跟郭麒麟的《我的棒儿呢?》郭德纲说于思洋郭麒麟作诗的相声,最后郭麒麟做了一首,师傅躺在师母身上大鱼吃小鱼小鱼吃虾虾吃水水落石出师傅压师娘师娘压床床压地地动山摇。...
-
- 哪个软件可以免费pdf转ppt(免费的pdf转ppt软件哪个好)
-
要想将ppt免费转换为pdf的话,我们建议大家可以下一个那个wps,如果你是会员的话,可以注册为会员,这样的话,在wps里面的话,就可以免费将ppt呢转换为pdfpdf之后呢,我们就可以直接使用,不需要去直接不需要去另外保存,为什么格式转...
-
2026-02-04 09:03 off999
- 电信宽带测速官网入口(电信宽带测速官网入口app)
-
这个网站看看http://www.swok.cn/pcindex.jsp1.登录中国电信网上营业厅,宽带光纤,贴心服务,宽带测速2.下载第三方软件,如360等。进行在线测速进行宽带测速时,尽...
- 植物大战僵尸95版手机下载(植物大战僵尸95 版下载)
-
1可以在应用商店或者游戏平台上下载植物大战僵尸95版手机游戏。2下载教程:打开应用商店或者游戏平台,搜索“植物大战僵尸95版”,找到游戏后点击下载按钮,等待下载完成即可安装并开始游戏。3注意:确...
- 免费下载ppt成品的网站(ppt成品免费下载的网站有哪些)
-
1、Chuangkit(chuangkit.com)直达地址:chuangkit.com2、Woodo幻灯片(woodo.cn)直达链接:woodo.cn3、OfficePlus(officeplu...
- 2025世界杯赛程表(2025世界杯在哪个国家)
-
2022年卡塔尔世界杯赛程公布,全部比赛在卡塔尔境内8座球场举行,2022年,决赛阶段球队全部确定。揭幕战于当地时间11月20日19时进行,由东道主卡塔尔对阵厄瓜多尔,决赛于当地时间12月18日...
- 下载搜狐视频电视剧(搜狐电视剧下载安装)
-
搜狐视频APP下载好的视频想要导出到手机相册里方法如下1、打开手机搜狐视频软件,进入搜狐视频后我们点击右上角的“查找”,找到自已喜欢的视频。2、在“浏览器页面搜索”窗口中,输入要下载的视频的名称,然后...
- 永久免费听歌网站(丫丫音乐网)
-
可以到《我爱音乐网》《好听音乐网》《一听音乐网》《YYMP3音乐网》还可以到《九天音乐网》永久免费听歌软件有酷狗音乐和天猫精灵,以前要跳舞经常要下载舞曲,我从QQ上找不到舞曲下载就从酷狗音乐上找,大多...
- 音乐格式转换mp3软件(音乐格式转换器免费版)
-
有两种方法:方法一在手机上操作:1、进入手机中的文件管理。2、在其中选择“音乐”,将显示出手机中的全部音乐。3、点击“全选”,选中所有音乐文件。4、点击屏幕右下方的省略号图标,在弹出菜单中选择“...
- 电子书txt下载(免费的最全的小说阅读器)
-
1.Z-library里面收录了近千万本电子书籍,需求量大。2.苦瓜书盘没有广告,不需要账号注册,使用起来非常简单,直接搜索预览下载即可。3.鸠摩搜书整体风格简洁清晰,书籍资源丰富。4.亚马逊图书书籍...
- 最好免费观看高清电影(播放免费的最好看的电影)
-
在目前的网上选择中,IMDb(互联网电影数据库)被认为是最全的电影网站之一。这个网站提供了各种类型的电影和电视节目的海量信息,包括剧情介绍、演员表、评价、评论等。其还提供了有关电影制作背后的详细信息,...
- 孤单枪手2简体中文版(孤单枪手2简体中文版官方下载)
-
要将《孤胆枪手2》游戏的征兵秘籍切换为中文,您可以按照以下步骤进行操作:首先,打开游戏设置选项,通常可以在游戏主菜单或游戏内部找到。然后,寻找语言选项或界面选项,点击进入。在语言选项中,选择中文作为游...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- python计时 (73)
- python安装路径 (56)
- python类型转换 (93)
- python进度条 (67)
- python吧 (67)
- python的for循环 (65)
- python格式化字符串 (61)
- python静态方法 (57)
- python列表切片 (59)
- python面向对象编程 (60)
- python 代码加密 (65)
- python串口编程 (77)
- python封装 (57)
- python写入txt (66)
- python读取文件夹下所有文件 (59)
- python操作mysql数据库 (66)
- python获取列表的长度 (64)
- python接口 (63)
- python调用函数 (57)
- python多态 (60)
- python匿名函数 (59)
- python打印九九乘法表 (65)
- python赋值 (62)
- python异常 (69)
- python元祖 (57)
