01.11.2024

安全

管理

如何获得免费 SSL 证书：完整分步指南

使用SSL证书保护您的网站不再是可选的——这是保护用户数据、建立访问者信任和维持竞争力搜索引擎排名的基本要求。幸运的是，免费SSL证书使企业级加密对每个人都可访问，从个人博客作者到小企业主。本综合指南将引导您了解使用Let’s Encrypt获取、安装和维护免费SSL证书所需的一切。

什么是SSL证书，您的网站为什么需要它？

SSL（安全套接字层）证书在访问者的浏览器和您的网络服务器之间建立加密连接。此加密确保敏感数据——包括登录凭证、支付信息和个人详细信息——不会被恶意第三方拦截。

除了安全性，SSL证书还提供可衡量的业务优势：

SEO优势：Google官方使用HTTPS作为排名信号。没有SSL证书的网站在搜索结果中会受到主动处罚。
用户信任：Chrome和Firefox等现代浏览器为HTTP网站显示”不安全”警告，这会大大增加跳出率。
合规性：许多数据保护法规（包括GDPR）要求采取适当的安全措施来处理用户数据。
转化率：研究一致表明，访问者更可能在视觉上验证的安全网站上完成购买和表单提交。

如果您在共享网络托管或VPS托管计划上运行您的网站，启用SSL是您今天可以进行的最高影响改进之一。

为什么为您的免费SSL证书选择Let’s Encrypt？

Let’s Encrypt是由互联网安全研究小组(ISRG)运营的非营利证书颁发机构(CA)。它通过提供以下功能彻底改变了网络安全：

完全免费的DV（域名验证）SSL证书
自动化的颁发和续期——无需手动文书工作
广泛的浏览器和设备兼容性——受所有主要浏览器信任
开放、透明的基础设施——经过审计且可公开验证

自推出以来，Let’s Encrypt已颁发了数十亿份证书，现已成为全球使用最广泛的CA。大多数信誉良好的托管提供商已将Let’s Encrypt直接集成到其控制面板中，使该过程几乎毫不费力。

> 注意：Let’s Encrypt颁发域名验证(DV)证书。如果您的业务需要组织验证(OV)或扩展验证(EV)证书以获得更高的保证级别，请考虑探索来自可信提供商的SSL证书。

第1步：验证您的托管提供商的SSL支持

在继续之前，请确认您的托管环境支持Let’s Encrypt或提供内置的免费SSL配置。

如何检查：

登录您的托管控制面板——这通常是cPanel、Plesk、DirectAdmin或自定义仪表板。
导航到安全部分——查找标记为”SSL/TLS”、”Let’s Encrypt”或”SSL管理器”的选项。
检查自动化SSL工具——许多现代主机直接从仪表板提供一键式SSL颁发。

如果您使用带cPanel的VPS，Let’s Encrypt集成通常通过AutoSSL功能本地可用，即使对于非技术用户也可以使证书管理变得简单。

第2步：订购您的免费SSL证书

根据您的托管环境和技术舒适度，有两种主要方法来获取Let’s Encrypt证书。

方法1：使用您的托管控制面板（推荐给初学者）

这是最简单的方法，适用于大多数共享托管和托管VPS环境。

分步过程：

登录您的托管控制面板（例如cPanel、Plesk）。
定位SSL/TLS设置——在cPanel中，这位于*安全*部分下。在Plesk中，导航到*网站和域→SSL/TLS证书*。
选择Let’s Encrypt——点击通过Let’s Encrypt颁发新证书的选项。
选择您的域名——选择您想要保护的域名（以及可选的www子域）。
完成颁发过程——按照屏幕上的提示进行操作。证书通常在几秒内颁发并安装。

在cPanel环境中，AutoSSL功能可以自动为您帐户上的所有域配置和续期Let’s Encrypt证书，无需任何手动干预。

方法2：通过SSH使用Certbot（推荐用于VPS和专用服务器）

如果您管理自己的服务器——例如专用服务器或非托管VPS——Certbot是官方的Let’s Encrypt客户端，也是手动证书管理的最可靠工具。

#### 前提条件：

对您的服务器的SSH访问
DNS指向您的服务器IP地址的域名
已安装并运行Apache或Nginx网络服务器

#### 安装Certbot

在Ubuntu/Debian上：

sudo apt update
sudo apt install certbot python3-certbot-apache   # For Apache
sudo apt install certbot python3-certbot-nginx    # For Nginx

在CentOS/RHEL上：

sudo yum install epel-release
sudo yum install certbot python3-certbot-apache   # For Apache
sudo yum install certbot python3-certbot-nginx    # For Nginx

#### 获取和安装证书

对于Apache：

sudo certbot --apache

对于Nginx：

sudo certbot --nginx

Certbot将自动：

检测您配置的域名
通过HTTP质询验证域名所有权
从Let’s Encrypt颁发证书
修改您的网络服务器配置以启用HTTPS
设置从HTTP到HTTPS的重定向（可选但推荐）

在此过程中，您将被提示：

输入您的电子邮件地址（用于续期通知和紧急安全警报）
同意服务条款
可选地订阅EFF通讯

#### 独立模式（无需网络服务器）

如果您需要在没有活跃网络服务器的情况下获取证书，请使用独立模式：

sudo certbot certonly --standalone -d yourdomain.com -d www.yourdomain.com

这会临时启动一个内置网络服务器在端口80上以完成域名验证。

第3步：配置自动证书续期

Let’s Encrypt证书的有效期为90天。这个较短的有效期是有意的——它限制了来自受损证书的暴露，并鼓励自动化。Certbot会自动处理续期，但您应该验证和测试配置。

测试续期过程

运行干运行模拟以确认续期将无错误地工作：

sudo certbot renew --dry-run

如果没有返回错误，您的自动续期已正确配置。

验证续期Cron作业或Systemd计时器

Certbot通常会自动安装systemd计时器或cron作业。要验证：

检查systemd计时器：

sudo systemctl status certbot.timer

手动检查cron作业：

sudo crontab -e

确保存在类似以下的条目：

0 0,12 * * * /usr/bin/certbot renew --quiet >> /var/log/certbot-renew.log 2>&1

> 最佳实践：Let’s Encrypt建议每天运行两次续期检查（午夜和中午），以确保证书在过期前得到续期。

续期后重新加载您的网络服务器

添加续期后挂钩以在成功续期后自动重新加载您的网络服务器：

sudo certbot renew --deploy-hook "systemctl reload nginx"
# or for Apache:
sudo certbot renew --deploy-hook "systemctl reload apache2"

第4步：验证您的SSL证书安装

安装后，始终验证您的SSL证书已正确配置并受浏览器信任。

手动浏览器检查

打开您的浏览器并导航到https://yourdomain.com
在地址栏中查找挂锁图标
点击挂锁以查看证书详细信息，包括颁发者(Let’s Encrypt)和过期日期

使用SSL检查工具

为了进行彻底的技术分析，请使用这些免费在线工具：

工具	它检查什么
SSL Labs (ssllabs.com/ssltest)	完整的SSL/TLS配置审计、密码套件、协议支持
Why No Padlock (whynopadlock.com)	导致挂锁消失的混合内容问题
SSL Shopper检查器	证书链、过期和域名匹配

配置正确的SSL安装在SSL Labs上应获得A或A+评级。

需要注意的常见问题

混合内容警告：在HTTPS页面上加载的HTTP资源（图像、脚本）会破坏挂锁。将所有资源URL更新为HTTPS。
证书链错误：确保完整的证书链（包括中间证书）已正确安装。
重定向循环：验证您的HTTP到HTTPS重定向在您的网络服务器或.htaccess文件中配置正确。

SSL管理的高级考虑

通配符证书

Let’s Encrypt支持通配符证书（例如*.yourdomain.com），它使用单个证书保护所有子域。这些需要基于DNS的域名验证：

sudo certbot certonly --manual --preferred-challenges dns -d "*.yourdomain.com" -d "yourdomain.com"

您需要向您的DNS配置添加TXT记录以完成验证。如果您需要注册或管理您的域名DNS，域名注册服务提供有效地执行此操作的工具。

多域(SAN)证书

通过指定-d标志来使用单个证书保护多个域：

sudo certbot --nginx -d domain1.com -d domain2.com -d www.domain1.com

证书文件位置

颁发后，Certbot将证书存储在/etc/letsencrypt/live/yourdomain.com/中：

文件	用途
`fullchain.pem`	证书+中间链（大多数服务器使用此）
`privkey.pem`	私钥
`cert.pem`	仅域名证书
`chain.pem`	中间证书链仅

何时考虑付费SSL证书

虽然Let’s Encrypt对大多数用例都很出色，但某些情况需要付费证书：

电子商务和金融服务：OV或EV证书在证书详细信息中显示您的组织名称，为客户提供更高的保证。
合规要求：某些行业要求来自特定CA的证书。
担保覆盖：付费证书通常包括针对错误颁发的财务担保。
专用IP要求：某些遗留系统要求每个SSL证书使用专用IP。

对于这些用例，请探索AlexHost提供的SSL证书范围，包括具有专用支持的OV和EV证书选项。

常见问题

问：Let’s Encrypt SSL受所有浏览器信任吗？

是的。Let’s Encrypt的根证书受所有主要浏览器和操作系统信任，包括Chrome、Firefox、Safari、Edge以及iOS/Android设备。

问：免费SSL证书会影响我的网站性能吗？

与未加密的HTTP相比，现代SSL/TLS与HTTP/2实际上改进了性能。在现代硬件上，加密的开销可以忽略不计。

问：我可以在localhost或内部服务器上使用Let’s Encrypt吗？

Let’s Encrypt需要公开DNS解析来进行域名验证，因此不能用于localhost或纯内部域。对于内部服务，请考虑自签名证书或私有CA。

问：如果我的证书过期会发生什么？

访问者将看到浏览器安全警告，阻止访问您的网站。这就是为什么自动续期至关重要。Let’s Encrypt还会向您注册的地址发送过期提醒电子邮件。

问：Let’s Encrypt可以与电子邮件托管一起使用吗？

SSL证书可以保护邮件服务器连接(SMTP、IMAP、POP3)。如果您正在寻找完整的专业电子邮件解决方案，电子邮件托管计划包括开箱即用的SSL保护邮件基础设施。

结论

使用Let’s Encrypt获取和安装免费SSL证书是您可以采取的最具影响力——且最具成本效益——的步骤之一，以改进您的网站的安全性、搜索引擎排名和用户信任。无论您是通过托管控制面板使用一键式安装程序还是在专用服务器上手动部署Certbot，该过程都有充分的文档记录、可靠且完全自动化以进行持续维护。

关键要点：

SSL对于

全场主机优惠15%