Let‘s Encrypt自动化申请：Certbot完全指南

用户在使用  Certbot  自动申请  Let‘s  Encrypt  证书时，核心在于它完全自动化地为你处理了SSL证书签发所需的所有复杂步骤，包括CSR生成、密钥管理和续期。

一、Certbot  工作原理与验证模式

Certbot  是一个自动与  Let‘s  Encrypt（一个免费、自动化的证书颁发机构）交互的工具。它遵循  ACME  协议，通过完成特定挑战来证明你控制着该域名，从而实现全自动的证书获取和续期。

申请证书时，你需要根据服务器环境选择验证方式，下表的对比能帮你快速决策：

验证模式 工作原理简述 主要特点与适用场景

--nginx  或  --apache  模式 Certbot  自动修改你的  Web  服务器（Nginx/Apache）配置来完成验证。 最方便。适用于标准Web服务器，可一键获取并自动配置HTTPS。

--webroot  模式 在网站根目录下创建临时文件供  Let’s  Encrypt  校验。 通用性强。不需要停止Web服务，适合大多数已有网站。

--standalone  模式 Certbot  临时启动一个内置的Web服务器（监听80或443端口）来完成验证。 无需Web服务器。适合没有运行Nginx/Apache的环境，但申请时需确保端口空闲。

--manual  模式（DNS验证） 要求你在域名DNS记录中添加指定的TXT记录以完成验证。 支持通配符证书（*.example.com）。需要手动操作DNS或借助支持API的DNS插件。

二、安装  Certbot

官方推荐使用  Snap  安装，能确保获得最新版本和自动更新。

安装  Snap（如系统未安装）：

bash

sudo  apt  update

sudo  apt  install  snapd

安装  Certbot：

bash

sudo  snap  install  --classic  certbot

创建命令行链接：

bash

sudo  ln  -s  /snap/bin/certbot  /usr/bin/certbot

三、申请与安装证书

场景一：为  Nginx/Apache  网站申请（最常用）

运行一条命令，Certbot  会自动获取证书并修改你的服务器配置以启用HTTPS。

bash

如果使用  Nginx

sudo  certbot  --nginx

如果使用  Apache

sudo  certbot  --apache

执行后，按照屏幕提示输入邮箱、同意协议并选择要申请证书的域名即可。Certbot  会自动完成余下工作。

场景二：仅获取证书（不修改配置）

如果你只需要证书文件，或使用其他Web服务器（如  OpenResty），可以使用  certonly  命令。以下是  --webroot  模式的示例：

bash

sudo  certbot  certonly  --webroot  \

    -w  /var/www/html  \

    -d  example.com  \

    -d  www.example.com

-w  后是你的网站根目录。

-d  后是你要申请证书的域名，可多次使用以添加多个域名。

注：使用  --manual  模式申请的证书（尤其是DNS验证方式）默认不支持自动续期，因为无法自动操作DNS记录。

四、自动化续期与管理

这是  Certbot  的核心优势。Let’s  Encrypt  证书有效期为90天，Certbot  会自动处理续期。

测试续期：在设置定时任务前，先进行模拟测试。

bash

sudo  certbot  renew  --dry-run

配置自动续期：Certbot  安装时通常会创建一个定时任务（cron  job  或  systemd  timer），每天自动检查并续期即将过期的证书（距离到期≤30天时）。你可以手动将其加入  crontab：

bash

每天凌晨2:30检查并尝试续期，成功后重启Nginx使新证书生效

30  2   /usr/bin/certbot  renew  --quiet  --post-hook  "systemctl  reload  nginx"

手动续期：可随时手动执行  sudo  certbot  renew。

五、高级技巧与注意事项

管理多个域名：在  -d  参数后列出所有域名，它们会被包含在同一张证书的SAN扩展中。

申请通配符证书：必须使用  --manual  模式并进行  DNS验证，因为需要证明你拥有整个域名的控制权。命令示例：

bash

sudo  certbot  certonly  --manual  --preferred-challenges  dns  \

    -d  "*.example.com"  \

    -d  example.com

使用测试环境：在正式申请前，可以使用  Let’s  Encrypt  的临时测试环境，避免触发频率限制。只需在命令中加入  --test-cert  或  --staging  参数。

查看与吊销证书：

查看已安装证书：sudo  certbot  certificates。

吊销证书：sudo  certbot  revoke  --cert-path  /etc/letsencrypt/archive/xxx/cert1.pem。

六、与CSR生成的联系

你之前了解了手动生成CSR的细节，而使用Certbot的核心理念是将这些步骤完全自动化：

自动生成CSR：Certbot  会根据你提供的域名，自动生成符合规范的CSR，无需你手动填写主题字段。

自动管理密钥：它会自动生成并安全地保存私钥，通常位于  /etc/letsencrypt/live/你的域名/  目录下，并自动设置严格的文件权限。

核心差异：Certbot  的自动化设计使其通常不接受外部自定义的CSR。这是为了确保流程的完整性和安全性。如果你的场景必须使用特定CSR（如包含特定企业信息），可能需要寻找其他支持此功能的ACME客户端或采用混合方案。

通过上面的论述，Certbot  通过高度自动化，让你能几乎“零配置”地获取和管理SSL证书，是个人开发者及中小型项目的理想选择

如果客户想深入了解某个特定验证模式（比如  DNS  验证的详细步骤）或遇到具体的错误信息，我们可以随时提供更具体的帮助。