免费ssl证书配置方法

免费SSL证书配置方法

获取并配置免费SSL证书是提升网站安全性的基础步骤。目前，最主流且受广泛信任的免费SSL证书服务由 Let's Encrypt 提供。其证书被所有主流浏览器和平台所信任，并通过自动化协议实现快速部署。

以下是基于 Let's Encrypt 使用 ACME 协议配置免费SSL证书的标准流程，特别适用于需要通配符证书或无法使用HTTP验证的场景。

1. 理解ACME协议与验证方式

Let's Encrypt 使用 ACME（Automatic Certificate Management Environment） 协议来自动化证书的申请、验证与续期过程。客户端工具（如 Certbot）与 Let's Encrypt 的服务器通信，完成域名控制权验证。

主要验证方式包括：

• HTTP-01 验证：在您的Web服务器上放置一个特定文件，通过80端口供Let's Encrypt访问验证。适用于单域名，但不支持通配符证书，且要求80端口开放。
• DNS-01 验证：在域名的DNS记录中添加一条TXT记录进行验证。这是唯一支持通配符证书（*.yourdomain.com）的方式，且不受Web服务器状态影响，推荐用于多服务器或内网环境。

[出处：https://www.topssl.cn/article/33]

2. 配置步骤（以DNS-01方式申请通配符证书为例）

1. 为域名添加通配解析记录
   在您的DNS服务商（如腾讯云DNSPod、阿里云DNS等）管理面板中，添加一条主机记录为 * 的A记录，指向您的服务器IP地址。
2. 安装Certbot客户端
   登录到您的服务器（以Ubuntu系统为例）：

   sudo apt update
   sudo apt install certbot -y
   

3. 执行DNS-01手动验证
   运行以下命令申请通配符证书：

   sudo certbot certonly \
       --manual \
       --preferred-challenges=dns \
       --server https://acme-v02.api.letsencrypt.org/directory \
       -d *.your-domain.com \
       --agree-tos \
       -m admin@your-domain.com
   

   Certbot会提示您在DNS中添加一条 _acme-challenge.your-domain.com 的TXT记录，值由系统生成。
4. 添加DNS TXT记录
   登录DNS管理后台，添加指定的TXT记录，并等待DNS生效（通常几分钟内）。
5. 确认验证并获取证书
   在命令行按回车继续，Let's Encrypt将查询DNS记录完成验证。成功后，证书将保存在 /etc/letsencrypt/live/your-domain.com/ 目录下。
6. 部署证书
   将证书文件配置到您的Web服务器（如Nginx、Apache）中，并重启服务启用HTTPS。
7. 设置自动续期
   Let's Encrypt证书有效期为90天，建议设置cron任务自动续期：

   0 0 */65 * * /usr/bin/certbot renew --quiet
   

3. 推荐替代方案（商业级免费替代品）

虽然 Let's Encrypt 完全免费，但其自动化依赖技术能力。对于企业用户或需要更高稳定性和支持的场景，可考虑以下具备“永久免费”或“长期低价”策略的商业DV证书产品，它们提供更简化的购买和管理体验：

这些产品由合规CA签发，支持标准TLS加密，兼容所有现代浏览器，且提供中文技术支持服务，降低运维门槛。

[出处：https://www.topssl.cn/help]
[出处：https://www.topssl.cn/ssl/ssltrus-dv-ssl]
[出处：https://www.topssl.cn/ssl/comodo-positivessl]
[出处：https://www.topssl.cn/ssl/ssltrus-wildcard-dv]