Let's Encrypt - 免费的 SSL/TLS 证书

关于 Let's Encrypt

Let's Encrypt 是一个免费、自动化、开放的证书颁发机构（CA），由互联网安全研究小组（ISRG）提供支持，致力于让 HTTPS 普及到整个互联网。

免费服务内容

免费的 SSL/TLS 证书，支持域名验证（DV）证书
支持单域名、多域名和通配符证书
自动化证书申请和续期流程，无需人工干预
符合行业标准的证书，被所有主流浏览器信任
完整的文档和 API 支持，便于集成到各种系统
免费的吊销服务，当证书泄露时可及时吊销
开放源代码的客户端工具（Certbot）

适用场景

个人网站

为个人博客、作品集等网站提供免费HTTPS保护

电子商务

保护在线商店的交易数据和用户隐私信息

企业网站

提升企业网站可信度，保护客户信息安全

API服务

为API通信提供加密保护，防止数据被篡改

信任情况

Let's Encrypt 证书被所有主流浏览器和操作系统信任：

Chrome

Firefox

Safari

Edge

Android

iOS

优缺点分析

了解 Let's Encrypt 的优势和局限性，帮助您决定是否适合您的项目需求。

主要优点

完全免费

与商业CA提供的证书不同，Let's Encrypt证书完全免费，没有任何隐藏费用，大大降低了网站启用HTTPS的门槛。

自动化程度高

提供简单易用的工具（如Certbot），可自动化完成证书申请、安装和续期的全过程，减少人工操作。

被广泛信任

证书被所有主流浏览器和操作系统信任，不会向用户显示安全警告，提供与付费证书同等的信任级别。

支持多种验证方式

支持HTTP-01、DNS-01和TLS-ALPN-01三种验证方式，适应不同的服务器环境和网络配置。

开放透明

作为开源项目，所有代码和操作都是透明的，由非盈利组织运营，没有商业利益驱动。

良好的文档和社区支持

提供详尽的官方文档、API参考和丰富的社区资源，帮助用户解决使用过程中遇到的问题。

主要缺点

有效期短

证书有效期仅为90天，远短于商业证书（通常1-2年），虽然支持自动续期，但增加了系统复杂度。

仅支持域名验证（DV）

不提供组织验证（OV）和扩展验证（EV）证书，对于需要展示企业身份的网站可能不够。

技术门槛

虽然提供了自动化工具，但对于非技术人员来说，安装和配置过程仍然有一定的技术门槛。

通配符证书限制

通配符证书只能通过DNS验证方式获取，对于某些不便于修改DNS的环境来说不够灵活。

缺乏商业支持

作为非盈利项目，不提供商业级别的技术支持服务，企业用户可能需要依赖社区或第三方支持。

吊销流程复杂

当证书密钥泄露需要吊销时，流程相对复杂，不如商业CA提供的界面操作直观。

社区评论

来自全球开发者和网站管理员的真实评价，了解他们使用 Let's Encrypt 的实际体验。

使用方法

只需几个简单步骤，即可为您的网站获取并安装免费的 SSL/TLS 证书，启用 HTTPS 加密。

使用 Certbot 获取证书

Certbot 是 Let's Encrypt 官方推荐的客户端工具，可自动化完成证书的申请、安装和续期过程。

安装 Certbot

Ubuntu / Debian

# 更新软件包列表
sudo apt update

# 安装 Certbot
sudo apt install certbot python3-certbot-nginx

# 对于Apache服务器
# sudo apt install certbot python3-certbot-apache

CentOS / RHEL

# 启用EPEL仓库
sudo yum install epel-release

# 安装 Certbot
sudo yum install certbot python3-certbot-nginx

# 对于Apache服务器
# sudo yum install certbot python3-certbot-apache

Fedora

# 安装 Certbot
sudo dnf install certbot python3-certbot-nginx

# 对于Apache服务器
# sudo dnf install certbot python3-certbot-apache

macOS

# 使用Homebrew安装
brew install certbot

# 安装相应的插件
# brew install certbot-nginx
# brew install certbot-apache

获取并安装证书

Certbot 可以自动获取证书并配置您的Web服务器：

Nginx 服务器

# 为域名获取证书并自动配置Nginx
sudo certbot --nginx -d example.com -d www.example.com

# 如果您希望手动配置
sudo certbot certonly --nginx -d example.com -d www.example.com

Apache 服务器

# 为域名获取证书并自动配置Apache
sudo certbot --apache -d example.com -d www.example.com

# 如果您希望手动配置
sudo certbot certonly --apache -d example.com -d www.example.com

对于其他Web服务器或无法自动配置的情况，可以使用独立模式：

# 独立模式（需要暂时关闭Web服务器）
sudo certbot certonly --standalone -d example.com -d www.example.com

# Webroot模式（不需要关闭Web服务器）
sudo certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com

验证证书安装

证书安装完成后，可以通过以下方式验证：

# 检查证书信息
sudo certbot certificates

# 使用openssl验证
openssl s_client -connect example.com:443

您也可以在浏览器中访问 https://example.com，查看地址栏是否显示锁图标。

Web服务器手动配置

如果您选择了手动模式获取证书，需要手动配置Web服务器以使用SSL/TLS证书。

Nginx 配置

编辑Nginx配置文件（通常位于 /etc/nginx/sites-available/ 目录）：

server {
    listen 80;
    server_name example.com www.example.com;
    
    # 重定向HTTP到HTTPS
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name example.com www.example.com;
    
    # 证书路径
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    
    # SSL配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    
    # 网站根目录
    root /var/www/example.com;
    index /;
    
    # 其他配置...
    location / {
        try_files $uri $uri/ =404;
    }
}

检查配置并重新加载Nginx：

# 检查配置是否有错误
sudo nginx -t

# 重新加载Nginx
sudo systemctl reload nginx

Apache 配置

编辑Apache配置文件（通常位于 /etc/apache2/sites-available/ 目录）：

<VirtualHost *:80>
    ServerName example.com
    ServerAlias www.example.com
    
    # 重定向HTTP到HTTPS
    Redirect permanent / https://example.com/
</VirtualHost>

<VirtualHost *:443>
    ServerName example.com
    ServerAlias www.example.com
    
    # 证书路径
    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
    
    # SSL配置
    SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
    SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
    SSLHonorCipherOrder on
    
    # 网站根目录
    DocumentRoot /var/www/example.com
    
    # 其他配置...
</VirtualHost>

启用SSL模块并重新加载Apache：

# 启用SSL模块
sudo a2enmod ssl

# 启用站点配置
sudo a2ensite example.com.conf

# 重新加载Apache
sudo systemctl reload apache2

其他服务器配置

Lighttpd

$SERVER["socket"] == ":80" {
    $HTTP["host"] =~ "(^|www\.)example\.com$" {
        url.redirect = (".*" => "https://example.com$0")
    }
}

$SERVER["socket"] == ":443" {
    $HTTP["host"] == "example.com" {
        ssl.engine = "enable"
        ssl.pemfile = "/etc/letsencrypt/live/example.com/combined.pem"
        ssl.ca-file = "/etc/letsencrypt/live/example.com/fullchain.pem"
        
        # 网站根目录
        server.document-root = "/var/www/example.com"
    }
}

IIS (Windows Server)

打开"Internet Information Services (IIS) 管理器"
选择您的服务器，双击"服务器证书"
点击右侧"导入"，选择从Let's Encrypt获取的PFX格式证书
选择您的网站，点击"绑定"
添加HTTPS绑定，选择导入的证书
配置HTTP到HTTPS的重定向

证书自动续期

Let's Encrypt 证书有效期为90天，建议设置自动续期以避免证书过期。

使用 Certbot 自动续期

Certbot 通常会自动配置续期任务。您可以通过以下方式验证：

# 检查crontab或systemd定时器
sudo systemctl list-timers | grep certbot

# 或
cat /etc/cron.d/certbot

如果没有自动配置，可以手动设置：

# 编辑crontab
sudo crontab -e

# 添加以下行（每天凌晨2点运行）
0 2 * * * /usr/bin/certbot renew --quiet --renew-hook "/bin/systemctl reload nginx"

对于systemd系统，可以创建定时器：

# 创建服务文件
sudo nano /etc/systemd/system/certbot-renew.service

# 内容
[Unit]
Description=Certbot Renewal

[Service]
ExecStart=/usr/bin/certbot renew --quiet --renew-hook "/bin/systemctl reload nginx"

# 创建定时器文件
sudo nano /etc/systemd/system/certbot-renew.timer

# 内容
[Unit]
Description=Timer for Certbot Renewal

[Timer]
OnCalendar=daily
Persistent=true

[Install]
WantedBy=timers.target

# 启用并启动定时器
sudo systemctl enable certbot-renew.timer
sudo systemctl start certbot-renew.timer

测试续期过程

可以使用测试模式验证续期是否正常工作：

# 测试续期（不会实际续期证书）
sudo certbot renew --dry-run

# 对于特定证书
sudo certbot renew --cert-name example.com --dry-run

重要提示：定期检查续期日志，确保续期过程正常工作：

# 查看续期日志
sudo tail -f /var/log/letsencrypt/letsencrypt.log

# 检查证书状态
sudo certbot certificates

证书过期预警

可以设置证书过期预警，在证书即将过期时收到通知：

使用脚本检查并发送邮件

#!/bin/bash
# 保存为 /usr/local/bin/cert-check.sh

EXPIRY_DATE=$(openssl x509 -in /etc/letsencrypt/live/example.com/cert.pem -noout -dates | grep notAfter | cut -d= -f2)
EXPIRY_SECONDS=$(date -d "$EXPIRY_DATE" +%s)
CURRENT_SECONDS=$(date +%s)
DAYS_LEFT=$(( (EXPIRY_SECONDS - CURRENT_SECONDS) / 86400 ))

if [ $DAYS_LEFT -lt 15 ]; then
    echo "证书将在 $DAYS_LEFT 天后过期" | mail -s "SSL证书即将过期警告" admin@example.com
fi

添加到crontab，每天运行一次

使用第三方服务

SSLmate Monitor - 免费监控5个证书
SSL Shopper - 免费证书监控
Uptime Robot - 可监控证书过期
Let's Monitor - 专为Let's Encrypt设计

获取通配符证书

Let's Encrypt 支持通配符证书（如 *.example.com），可保护一个域名下的所有子域名。通配符证书只能通过DNS验证方式获取。

使用 Certbot 获取通配符证书

获取通配符证书需要使用DNS验证方式：

# 获取通配符证书（包括主域名）
sudo certbot certonly --manual --preferred-challenges dns -d example.com -d *.example.com

# 对于支持自动DNS验证的服务商
# Cloudflare示例
sudo certbot certonly --dns-cloudflare --dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini -d example.com -d *.example.com

手动DNS验证步骤：

运行上述命令后，Certbot会显示一条DNS TXT记录
登录您的DNS服务商管理界面
为域名添加一条TXT记录，主机名为_acme-challenge，值为Certbot显示的字符串
等待DNS记录生效（可能需要几分钟到几小时）
按回车继续，Certbot会验证DNS记录
验证成功后，证书将被安装到默认目录

提示：可以使用 dig 命令检查DNS记录是否生效：

dig TXT _acme-challenge.example.com

支持自动DNS验证的服务商

Certbot 支持多种DNS服务商的自动验证插件，无需手动添加TXT记录：

Cloudflare

sudo apt install python3-certbot-dns-cloudflare

AWS Route 53

sudo apt install python3-certbot-dns-route53

Google Cloud DNS

sudo apt install python3-certbot-dns-google

DigitalOcean

sudo apt install python3-certbot-dns-digitalocean

Namecheap

pip install certbot-dns-namecheap

GoDaddy

pip install certbot-dns-godaddy

使用自动DNS验证插件时，需要创建包含API密钥的配置文件：

# Cloudflare 配置示例
sudo nano /etc/letsencrypt/cloudflare.ini

# 添加以下内容
dns_cloudflare_email = your-email@example.com
dns_cloudflare_api_key = your-api-key

# 设置权限
sudo chmod 600 /etc/letsencrypt/cloudflare.ini

通配符证书的自动续期

使用手动DNS验证的通配符证书无法完全自动续期，需要手动更新DNS记录。建议：

使用支持自动DNS验证的服务商和插件
编写脚本自动更新DNS记录（需要DNS服务商提供API）
设置日历提醒，在证书过期前手动续期

使用自动DNS验证的续期命令：

# 自动续期所有证书
sudo certbot renew

# 针对特定证书
sudo certbot renew --cert-name example.com

官方文档

详细的使用指南和API文档，帮助您解决使用过程中的各种问题。

查看文档

Certbot 官网

Let's Encrypt 官方推荐的客户端工具，提供详细的安装和使用指南。

访问官网

社区论坛

活跃的用户社区，可提问、分享经验和解决方案，获取技术支持。

访问论坛

让 HTTPS 普及到每个网站

安全的网站连接