所有托管服务节省 15%

测试技能,享折扣

使用代码: Skills 开始使用
China
安全 管理

如何获得免费 SSL 证书:完整分步指南

使用 SSL 证书保护您的网站不再是可选的 — 这是保护用户数据、建立访客信任和维持竞争力搜索引擎排名的基本要求。幸运的是,免费 SSL 证书使企业级加密对所有人都可以访问,从个人博主到小企业主。本综合指南将引导您了解使用 Let’s Encrypt 获取、安装和维护免费 SSL 证书所需的一切。

什么是 SSL 证书,为什么您的网站需要它?

SSL (Secure Sockets Layer) 证书在访问者的浏览器和您的网络服务器之间建立加密连接。这种加密确保敏感数据——包括登录凭证、支付信息和个人详情——不会被恶意第三方拦截。

除了安全性,SSL 证书还能带来可衡量的商业效益:

  • SEO 优势:Google 官方将 HTTPS 用作排名信号。没有 SSL 证书的网站在搜索结果中会受到主动处罚。
  • 用户信任:Chrome 和 Firefox 等现代浏览器会为 HTTP 网站显示”不安全”警告,这会大幅增加跳出率。
  • 合规性:许多数据保护法规,包括 GDPR,都要求采取适当的安全措施来处理用户数据。
  • 转化率:研究一致表明,访问者更可能在视觉上经过验证的安全网站上完成购买和表单提交。

如果您在共享网络托管VPS 托管计划上运行您的网站,启用 SSL 是您今天可以进行的最高影响力的改进之一。

为什么选择 Let's Encrypt 获取免费 SSL 证书?

Let's Encrypt 是由互联网安全研究小组 (ISRG) 运营的非营利性证书颁发机构 (CA)。它通过提供以下功能彻底改变了网络安全:

  • 完全免费的 DV(域名验证)SSL 证书
  • 自动颁发和续期 — 无需手动处理文件
  • 广泛的浏览器和设备兼容性 — 受所有主流浏览器信任
  • 开放、透明的基础设施 — 经过审计且可公开验证

自推出以来,Let's Encrypt 已颁发数十亿份证书,现已成为全球使用最广泛的 CA。大多数信誉良好的托管提供商已将 Let's Encrypt 直接集成到其控制面板中,使该过程几乎毫不费力。

> 注意:Let's Encrypt 颁发域名验证 (DV) 证书。如果您的业务需要组织验证 (OV) 或扩展验证 (EV) 证书以获得更高的保证级别,请考虑从受信任的提供商探索 SSL 证书

第1步:验证您的托管提供商的SSL支持

在继续之前,请确认您的托管环境支持Let’s Encrypt或提供内置免费SSL配置。

如何检查:

  1. 登录您的托管控制面板 — 通常是cPanel、Plesk、DirectAdmin或自定义仪表板。
  2. 导航到安全部分 — 查找标记为”SSL/TLS”、”Let’s Encrypt”或”SSL Manager”的选项。
  3. 检查自动化SSL工具 — 许多现代主机直接从仪表板提供一键式SSL颁发。

如果您使用的是带有cPanel的VPS,Let’s Encrypt集成通常通过AutoSSL功能本地可用,即使对于非技术用户也能简化证书管理。

第2步:订购您的免费SSL证书

获取Let’s Encrypt证书有两种主要方法,具体取决于您的托管环境和技术水平。

方法1:使用您的托管控制面板(推荐初学者使用)

这是最简单的方法,适用于大多数共享托管和托管VPS环境。

分步流程:

  1. 登录您的托管控制面板(例如cPanel、Plesk)。
  2. 找到SSL/TLS设置 — 在cPanel中,这位于*安全*部分下。在Plesk中,导航至*网站和域 → SSL/TLS证书*。
  3. 选择Let’s Encrypt — 点击通过Let’s Encrypt颁发新证书的选项。
  4. 选择您的域名 — 选择您要保护的域名(以及可选的www子域)。
  5. 完成颁发过程 — 按照屏幕上的提示操作。证书通常会在几秒内颁发和安装。

在cPanel环境中,AutoSSL功能可以自动为您账户上的所有域名配置和续期Let’s Encrypt证书,无需任何手动干预。

方法2:通过SSH使用Certbot(推荐用于VPS和专用服务器)

如果您管理自己的服务器 — 例如专用服务器或非托管VPS — Certbot是官方的Let’s Encrypt客户端,也是手动证书管理最可靠的工具。

前置条件:

  • 对您的服务器的SSH访问权限
  • 一个域名,其DNS指向您的服务器IP地址
  • 已安装并运行Apache或Nginx网络服务器

安装Certbot

在Ubuntu/Debian上:

sudo apt update
sudo apt install certbot python3-certbot-apache   # For Apache
sudo apt install certbot python3-certbot-nginx    # For Nginx

在CentOS/RHEL上:

sudo yum install epel-release
sudo yum install certbot python3-certbot-apache   # For Apache
sudo yum install certbot python3-certbot-nginx    # For Nginx

获取和安装证书

对于Apache:

sudo certbot --apache

对于Nginx:

sudo certbot --nginx

Certbot将自动:

  • 检测您配置的域名
  • 通过HTTP质询验证域名所有权
  • 从Let’s Encrypt颁发证书
  • 修改您的网络服务器配置以启用HTTPS
  • 设置从HTTP到HTTPS的重定向(可选但推荐)

在此过程中,系统将提示您:

  • 输入您的电子邮件地址(用于续期通知和紧急安全警报)
  • 同意服务条款
  • 可选择订阅EFF通讯

独立模式(无需网络服务器)

如果您需要在没有活跃网络服务器的情况下获取证书,请使用独立模式:

sudo certbot certonly --standalone -d yourdomain.com -d www.yourdomain.com

这会临时在端口80上启动一个内置网络服务器以完成域名验证。

第 3 步:配置自动证书续期

Let's Encrypt 证书的有效期为 90 天。这个较短的有效期是有意设计的 — 它限制了证书泄露的风险敞口,并鼓励自动化。Certbot 会自动处理续期,但您应该验证和测试配置。

测试续期过程

运行干运行模拟以确认续期将正常工作且不出错:

sudo certbot renew --dry-run

如果没有返回错误,您的自动续期已正确配置。

验证续期 Cron 作业或 Systemd 计时器

Certbot 通常会自动安装 systemd 计时器或 cron 作业。要验证:

检查 systemd 计时器:

sudo systemctl status certbot.timer

手动检查 cron 作业:

sudo crontab -e

确保存在类似以下的条目:

0 0,12 * * * /usr/bin/certbot renew --quiet >> /var/log/certbot-renew.log 2>&1

> 最佳实践:Let's Encrypt 建议每天运行两次续期检查(午夜和中午),以确保证书在过期前得到续期。

续期后重新加载您的 Web 服务器

添加续期后钩子以在成功续期后自动重新加载您的 Web 服务器:

sudo certbot renew --deploy-hook "systemctl reload nginx"
# or for Apache:
sudo certbot renew --deploy-hook "systemctl reload apache2"

第 4 步:验证您的 SSL 证书安装

安装后,始终验证您的 SSL 证书是否正确配置并受浏览器信任。

手动浏览器检查

  1. 打开您的浏览器并导航到 https://yourdomain.com
  2. 在地址栏中查找挂锁图标
  3. 点击挂锁以查看证书详情,包括颁发者(Let’s Encrypt)和过期日期

使用 SSL 检查工具

为了进行彻底的技术分析,请使用这些免费在线工具:

工具检查内容
SSL Labs (ssllabs.com/ssltest)完整的 SSL/TLS 配置审计、密码套件、协议支持
Why No Padlock (whynopadlock.com)导致挂锁消失的混合内容问题
SSL Shopper Checker证书链、过期日期和域名匹配

配置正确的 SSL 安装应在 SSL Labs 上获得 A 或 A+ 评级

需要注意的常见问题

  • 混合内容警告:在 HTTPS 页面上加载 HTTP 资源(图像、脚本)会破坏挂锁。将所有资源 URL 更新为 HTTPS。
  • 证书链错误:确保完整的证书链(包括中间证书)已正确安装。
  • 重定向循环:验证您的 HTTP 到 HTTPS 重定向在您的 Web 服务器或 .htaccess 文件中配置正确。

SSL 管理的高级考虑

通配符证书

Let's Encrypt 支持通配符证书(例如 *.yourdomain.com),可以用单个证书保护所有子域。这些需要基于 DNS 的域验证:

sudo certbot certonly --manual --preferred-challenges dns -d "*.yourdomain.com" -d "yourdomain.com"

您需要向 DNS 配置添加 TXT 记录以完成验证。如果您需要注册或管理域的 DNS,域名注册服务提供高效完成此操作的工具。

多域 (SAN) 证书

通过使用 -d 标志指定多个域,用单个证书保护它们:

sudo certbot --nginx -d domain1.com -d domain2.com -d www.domain1.com

证书文件位置

颁发后,Certbot 将证书存储在 /etc/letsencrypt/live/yourdomain.com/

文件用途
fullchain.pem证书 + 中间链(大多数服务器使用此文件)
privkey.pem私钥
cert.pem仅域证书
chain.pem仅中间证书链

何时考虑付费 SSL 证书

虽然 Let’s Encrypt 对大多数用例都很出色,但某些情况需要付费证书:

  • 电子商务和金融服务:OV 或 EV 证书在证书详情中显示您的组织名称,为客户提供更高的保证。
  • 合规要求:某些行业要求来自特定 CA 的证书。
  • 担保覆盖:付费证书通常包括误签发情况下的财务担保。
  • 专用 IP 要求:某些遗留系统要求每个 SSL 证书使用专用 IP。

对于这些用例,请探索 AlexHost 提供的 SSL 证书范围,包括带有专属支持的 OV 和 EV 证书选项。

常见问题

Q: Let’s Encrypt SSL 是否受所有浏览器信任?

是的。Let’s Encrypt 的根证书受所有主要浏览器和操作系统信任,包括 Chrome、Firefox、Safari、Edge 和 iOS/Android 设备。

Q: 免费 SSL 证书会影响我的网站性能吗?

现代 SSL/TLS 与 HTTP/2 实际上比未加密的 HTTP 性能更好。在现代硬件上,加密的开销可以忽略不计。

Q: 我可以在 localhost 或内部服务器上使用 Let’s Encrypt 吗?

Let’s Encrypt 需要公共 DNS 解析来进行域名验证,因此无法用于 localhost 或纯内部域名。对于内部服务,请考虑使用自签名证书或私有 CA。

Q: 如果我的证书过期会怎样?

访问者会看到浏览器安全警告,阻止访问您的网站。这就是为什么自动续期至关重要。Let’s Encrypt 还会向您注册的地址发送过期提醒电子邮件。

Q: Let’s Encrypt 是否适用于电子邮件托管?

SSL 证书可以保护邮件服务器连接(SMTP、IMAP、POP3)。如果您正在寻找完整的专业电子邮件解决方案,电子邮件托管计划包括开箱即用的 SSL 保护邮件基础设施。

结论

使用 Let's Encrypt 获取和安装免费 SSL 证书是改进网站安全性、搜索引擎排名和用户信任的最具影响力且最具成本效益的步骤之一。无论您是通过托管控制面板使用一键安装程序,还是在专用服务器上手动部署 Certbot,该过程都有充分的文档记录、可靠且完全自动化以进行持续维护。

关键要点:

  • SSL 对于 2024 年及以后的 SEO、安全性和用户信任是强制性的
  • Let's Encrypt 为几乎任何网站提供免费、受信任、自动化的 SSL
  • Certbot 以最少的手动工作量处理安装和续期
  • 始终使用 SSL Labs 验证您的安装并监控混合内容问题
  • 对于更高保证的需求,付费 OV/EV 证书仍然是专业标准

立即开始保护您的网站 — 您的访客、搜索排名和安心将感谢您。