Let's Encrypt作为免费、自动化的证书颁发机构，提供了便捷的解决方案，而Certbot则是其官方推荐的自动化工具，用于申请、部署和续期SSL证书。本文将详细介绍如何使用Certbot从Let's Encrypt申请SSL证书，并实现Nginx和Apache服务器的自动化配置。

一、Let's Encrypt和Certbot简介

Let's Encrypt是一个由非营利组织ISRG支持的免费SSL证书提供机构。它的主要目标是通过提供免费的证书服务，推动全球范围内地HTTPS使用，使网站更加安全。

Certbot是一个由Let's Encrypt提供的官方工具，用于自动化证书申请和安装过程。它支持多种Web服务器，如Nginx、Apache等，并提供了丰富的功能和选项，以满足不同场景的需求。

二、准备工作

1. 服务器要求

（1）操作系统

Certbot支持多种操作系统，如Linux（包括Ubuntu、Debian、CentOS等）。确保服务器的操作系统是最新版本，以避免潜在的兼容性问题。

（2）安装必要软件包

如果是基于Debian或Ubuntu系统，需要确保已经安装了 apt- get 包管理工具并且系统已经更新。对于CentOS等基于RPM的系统，需要安装 yum 包管理工具并且系统处于较新的状态。

（3）安装Web服务器

如果要在Nginx或Apache服务器上部署SSL证书，首先需要正确安装和配置相应的Web服务器。例如，在Ubuntu上安装Nginx可以使用命令 sudo apt- get install nginx ，安装Apache可以使用 sudo apt- get install apache2 。

2. 域名解析

（1）确保域名正确指向服务器

在申请SSL证书之前，需要确保要使用证书的域名已经正确解析到目标服务器的IP地址。可以通过检查域名注册商的DNS设置或者使用命令行工具（如 dig 或 nslookup ）来验证域名解析是否正确。

三、安装Certbot

1. 基于Ubuntu/Debian系统

（1）添加官方存储库

首先，运行以下命令添加Certbot的官方存储库：

1    sudo apt- get update
2    sudo apt- get install software- properties- common
3    sudo add- apt- repository ppa:certbot/certbot
4    sudo apt- get update

（2）安装Certbot

执行命令 sudo apt- get install certbot 来安装Certbot。

2. 基于CentOS系统

（1）安装EPEL存储库（如果尚未安装）

运行命令 sudo yum install epel- release 。

（2）安装Certbot

使用命令 sudo yum install certbot 来安装Certbot。

四、从Let's Encrypt申请SSL证书

1. 使用Certbot的命令行界面

（1）基本命令格式

对于Nginx服务器，申请SSL证书的基本命令为：

1   sudo certbot--nginx

对于Apache服务器，命令为：

1   sudo certbot--apache

Certbot会自动检测Web服务器的配置，并根据服务器的域名生成相应的证书申请。

（2）交互过程

当运行上述命令时，Certbot会提示输入一些信息。首先，需要输入管理员的电子邮件地址，这是用于接收Let's Encrypt的重要通知（如证书即将过期等）。然后，需要同意Let's Encrypt的服务条款。最后，Certbot会询问是否愿意将电子邮件地址分享给电子前沿基金会（EFF），这是可选的。

2. 证书申请的验证

（1）Let's Encrypt的验证方式

Let's Encrypt使用两种主要的验证方式：HTTP验证和DNS验证。HTTP验证是默认的验证方式，Certbot会在Web服务器上创建一个临时的验证文件，Let's Encrypt会通过访问该文件来验证域名的所有权。DNS验证则需要在域名的DNS记录中添加特定的TXT记录，这种方式适用于一些无法直接进行HTTP验证的情况（如域名没有指向实际的Web服务器等）。

（2）验证过程中的常见问题及解决方法

如果在HTTP验证过程中遇到问题，可能是由于Web服务器的配置问题导致Let's Encrypt无法访问验证文件。例如，如果Nginx或Apache的配置文件中存在访问限制或者错误的虚拟主机配置，可能会导致验证失败。此时，需要检查并修正Web服务器的配置文件。如果是DNS验证失败，可能是因为TXT记录添加错误或者DNS传播延迟。需要仔细检查TXT记录的内容和格式，并等待足够的DNS传播时间（通常几分钟到几小时不等）。

五、Nginx服务器的自动化配置

1. Certbot自动配置的原理

（1）修改Nginx配置文件

当使用 sudo certbot--nginx 命令申请SSL证书时，Certbot会自动修改Nginx的配置文件。它会在现有的Nginx配置中添加必要的SSL相关指令，如 listen 443 ssl; 用于监听HTTPS端口，以及指定SSL证书和密钥的路径等。

（2）服务器块更新

Certbot会在相应的服务器块（server block）中添加重定向规则，将所有的HTTP请求重定向到HTTPS。例如，添加类似如下的配置：

1    server {
2        listen 80;
3        server_name example.com;
4        return 301 https://$server_name$request_uri;
5    }

2. 手动调整Nginx配置（如果必要）

（1）优化SSL配置参数

虽然Certbot自动配置了基本的SSL设置，但可能需要手动优化一些SSL配置参数以提高安全性和性能。例如，可以调整SSL协议版本（推荐使用TLSv1.2或TLSv1.3）、调整加密套件等。在Nginx配置文件中，可以通过 ssl_protocols 和 ssl_ciphers 指令来进行设置，如下所示：

1    ssl_protocols TLSv1.2 TLSv1.3;
2    ssl_ciphers 'ECDHE- ECDSA- AES256- GCM- SHA384:ECDHE- RSA- AES256- GCM- SHA384:ECDHE- ECDSA- AES128- GCM- SHA256:ECDHE- RSA- AES128- GCM- SHA256';

（2）处理多域名或通配符证书

如果申请的是多域名或通配符证书，需要在Nginx配置文件中正确设置服务器块以处理不同的域名。对于多域名证书，可以为每个域名创建单独的服务器块，并在其中指定对应的SSL证书和密钥路径。对于通配符证书（如 *.example.com ），可以创建一个通用的服务器块来处理所有子域名的HTTPS请求。

六、Apache服务器的自动化配置

1. Certbot自动配置的原理

（1）修改Apache配置文件

当使用 sudo certbot--apache 命令申请SSL证书时，Certbot会自动修改Apache的配置文件。它会在相应的 <VirtualHost> 标签内添加SSL相关的指令，如 SSLEngine on 用于启用SSL，以及指定SSL证书和密钥的文件路径等。

（2）重定向设置

Certbot会在Apache配置中添加重定向规则，将HTTP请求重定向到HTTPS。例如，在 <VirtualHost> 标签内添加类似如下的指令：

1    RewriteEngine on
2    RewriteCond %{HTTPS}!=on
3    RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]

2. 手动调整Apache配置（如果必要）

（1）优化SSL配置参数

与Nginx类似，可能需要手动优化Apache的SSL配置参数。在Apache中，可以通过 SSLCipherSuite 指令来调整加密套件，通过 SSLProtocol 指令来调整SSL协议版本。例如：

1    SSLCipherSuite ECDHE- ECDSA- AES256- GCM- SHA384:ECDHE- RSA- AES256- GCM- SHA384:ECDHE- ECDSA- AES128- GCM- SHA256:ECDHE- RSA- AES128- GCM- SHA256
2    SSLProtocol all- SSLv2- SSLv3

（2）处理多域名或通配符证书

在Apache中处理多域名或通配符证书时，需要在 <VirtualHost> 标签内正确设置域名和对应的SSL证书信息。对于多域名证书，可以为每个域名创建单独的 <VirtualHost> 配置，而对于通配符证书，可以创建一个通用的 <VirtualHost> 配置来处理相关子域名的请求。

七、证书的更新与维护

1. 自动更新

（1）Certbot的自动更新机制

Certbot会自动设置一个定时任务（cron job）来定期检查SSL证书的有效期。当证书即将过期时（通常在证书有效期的30天内），Certbot会自动尝试更新证书。这种自动更新机制确保了网站的SSL证书始终处于有效状态，避免了因证书过期而导致的网站安全问题和服务中断。

（2）查看自动更新任务

在基于Ubuntu/Debian系统中，可以使用命令 crontab- l 来查看Certbot的自动更新任务。在CentOS系统中，可以查看 /etc/crontab 文件或者使用 crontab- l 命令（如果 crontab 已经安装）。

2. 手动更新（如果必要）

（1）可能需要手动更新的情况

如果在自动更新过程中出现问题（如网络故障、Let's Encrypt服务器故障等），可能需要手动更新SSL证书。可以使用与申请证书类似的命令来进行手动更新。对于Nginx服务器，使用 sudo certbot--nginx 命令，对于Apache服务器，使用 sudo certbot--apache 命令。

（2）更新后的配置检查

在手动更新证书后，需要检查Nginx或Apache的配置文件是否正确更新。特别是要检查SSL证书和密钥的路径是否正确，以及重定向规则等是否仍然有效。

使用Certbot部署SSL证书是一个相对简单且高效的过程。从Let's Encrypt申请证书到在Nginx和Apache服务器上进行自动化配置，Certbot提供了一站式的解决方案。通过正确地部署和维护SSL证书，可以大大提高网站的安全性和用户信任度，确保网站在互联网上的安全运营。

Dogssl.cn拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!