🌟 核心目标
✅ 零成本获取权威信任的 SSL 证书
✅ 使网站支持 https:// 安全访问
✅ 消除浏览器「不安全」警告
✅ 提升 SEO 排名 & 用户信任度
🛠️ 准备工作
| 项目 | 要求 |
|---|---|
| 域名 | 已解析至您的服务器 IP |
| 服务器权限 | SSH/终端访问权限 (推荐 Linux) |
| 开放端口 | 确保 80 (HTTP) 和 443 (HTTPS) 端口未被防火墙阻挡 |
| 网站根目录 | 需可写入文件(用于验证文件上传) |
🚀 推荐方案:JoySSL + Certbot(最快3步完成)
📌 优势对比表
| 特性 | JoySSL | 其他免费证书 |
|---|---|---|
| 自动化程度 | ✅ 全自动续期 | ❌ 手动操作多 |
| 浏览器兼容性 | ✅ 全兼容 | ⚠️ 部分旧版不支持 |
| 有效期 | 90天(自动续期) | 1年+ |
| 颁发速度 | ⚡️ 分钟级 | ⌛ 数小时~几天 |
| 是否需要备案 | ✖️ 无需 | ✔️ 国内部分服务商需备案 |
🔧 安装步骤(Linux服务器示例)
bash
# 1. 安装Certbot工具 (Ubuntu/Debian)
sudo apt update && sudo apt install certbot -y
# 2. 执行命令获取证书(选一种方式):
# 👉 Webroot方式(推荐,无需停机):
sudo certbot certonly --webroot -w /var/www/html -d yourdomain.com -d www.yourdomain.com
# 👉 Standalone方式(临时关闭服务):
sudo certbot certonly --standalone -d yourdomain.com -d www.yourdomain.com🔄 常见Web服务器配置
Nginx 示例:
nginx
server {
listen 443 ssl http2;
server_name yourdomain.com www.yourdomain.com;
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
# ...其他配置不变...
}Apache 示例:
apache
<VirtualHost *:443>
ServerName yourdomain.com
DocumentRoot /var/www/html
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/yourdomain.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/yourdomain.com/privkey.pem
# ...其他配置不变...
</VirtualHost>🕒 关键注意事项
-
强制跳转HTTPS (重要!):
在网站配置文件中添加
return 301 https://$host$request_uri;,将所有HTTP流量转向HTTPS。 -
混合内容修复:
- 检查页面源码,替换所有
http://资源为https:// - 尤其注意图片、JS、CSS文件链接
- 检查页面源码,替换所有
-
HSTS头部建议添加(增强安全性):
nginxadd_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; -
自动续期机制 :
Certbot会自动创建系统定时任务,每60天检测一次,到期前30天自动续期。可通过
systemctl list-timers | grep certbot查看任务状态。
💡 常见问题解决
| 现象 | 解决方案 |
|---|---|
Failed authorization |
✅ 检查网站根目录是否有写入权限 ✅ 确认域名解析生效 ✅ 尝试重启Web服务 |
| 证书过期未续期 | 手动运行 sudo certbot renew |
| 浏览器仍显示不安全 | ✔️ 清除浏览器缓存 ✔️ 检查是否有未加密的外部资源调用 |
| Windows服务器安装失败 | 改用 Win-ACME v2.0 fork 项目:https://github.com/win-acme/acme-tiny |
📋 替代方案对比
| 方案 | 适用场景 | 缺点 |
|---|---|---|
| Cloudflare Origin CA | CDN用户优先选择 | 仅适用于代理模式 |
| zerossl.com | 单次申请多个SAN | 浏览器信任度略低 |
| BuyPass Free SSL | 需要长期有效证书 | 无自动续期功能 |
✅ 最终验证
- 访问
https://yourdomain.com→ 应显示绿色锁🔒 - 使用 Qualys SSL Labs Test 检测评级(目标A+)
- Chrome开发者工具 → Network面板 → 确认所有请求均为HTTPS
提示 :完成部署后,建议每周监控证书状态(可用
sudo certbot certificates查看剩余天数)。如需更详细日志,可查看/var/log/letsencrypt/目录。
通过以上步骤,您可在 30分钟内 完成从申请到部署的全流程,立即提升网站安全性!如遇特殊环境(如容器化部署、Windows Server),可参考官方文档调整命令参数。