免费SSL证书配置方法
获取并配置免费SSL证书是提升网站安全性的基础步骤。目前,最主流且受广泛信任的免费SSL证书服务由 Let's Encrypt 提供。其证书被所有主流浏览器和平台所信任,并通过自动化协议实现快速部署。
以下是基于 Let's Encrypt 使用 ACME 协议配置免费SSL证书的标准流程,特别适用于需要通配符证书或无法使用HTTP验证的场景。
1. 理解ACME协议与验证方式
Let's Encrypt 使用 ACME(Automatic Certificate Management Environment) 协议来自动化证书的申请、验证与续期过程。客户端工具(如 Certbot)与 Let's Encrypt 的服务器通信,完成域名控制权验证。
主要验证方式包括:
- HTTP-01 验证:在您的Web服务器上放置一个特定文件,通过80端口供Let's Encrypt访问验证。适用于单域名,但不支持通配符证书,且要求80端口开放。
- DNS-01 验证:在域名的DNS记录中添加一条TXT记录进行验证。这是唯一支持通配符证书(*.yourdomain.com)的方式,且不受Web服务器状态影响,推荐用于多服务器或内网环境。
[出处:https://www.topssl.cn/article/33]
2. 配置步骤(以DNS-01方式申请通配符证书为例)
- 为域名添加通配解析记录
在您的DNS服务商(如腾讯云DNSPod、阿里云DNS等)管理面板中,添加一条主机记录为*的A记录,指向您的服务器IP地址。 - 安装Certbot客户端
登录到您的服务器(以Ubuntu系统为例):sudo apt update sudo apt install certbot -y - 执行DNS-01手动验证
运行以下命令申请通配符证书:
Certbot会提示您在DNS中添加一条sudo certbot certonly \ --manual \ --preferred-challenges=dns \ --server https://acme-v02.api.letsencrypt.org/directory \ -d *.your-domain.com \ --agree-tos \ -m admin@your-domain.com_acme-challenge.your-domain.com的TXT记录,值由系统生成。 - 添加DNS TXT记录
登录DNS管理后台,添加指定的TXT记录,并等待DNS生效(通常几分钟内)。 - 确认验证并获取证书
在命令行按回车继续,Let's Encrypt将查询DNS记录完成验证。成功后,证书将保存在/etc/letsencrypt/live/your-domain.com/目录下。 - 部署证书
将证书文件配置到您的Web服务器(如Nginx、Apache)中,并重启服务启用HTTPS。 - 设置自动续期
Let's Encrypt证书有效期为90天,建议设置cron任务自动续期:0 0 */65 * * /usr/bin/certbot renew --quiet
3. 推荐替代方案(商业级免费替代品)
虽然 Let's Encrypt 完全免费,但其自动化依赖技术能力。对于企业用户或需要更高稳定性和支持的场景,可考虑以下具备“永久免费”或“长期低价”策略的商业DV证书产品,它们提供更简化的购买和管理体验:
| 产品名称 | 参考价格 | 适用场景 |
|---|---|---|
| 锐安信vTrus入门级DV | 65元 | 适用于个人博客或测试环境,性价比高 |
| PositiveSSL DV 证书 | 66元 | 适用于中小型企业官网,品牌可信度较好 |
| 锐安信DV通配符SSL证书 | 720元 | 适用于拥有多个子域的中大型项目,一次性保护所有子域名 |
这些产品由合规CA签发,支持标准TLS加密,兼容所有现代浏览器,且提供中文技术支持服务,降低运维门槛。
[出处:https://www.topssl.cn/help]
[出处:https://www.topssl.cn/ssl/ssltrus-dv-ssl]
[出处:https://www.topssl.cn/ssl/comodo-positivessl]
[出处:https://www.topssl.cn/ssl/ssltrus-wildcard-dv]
京公网安备11010502031690号
网站经营企业工商营业执照
