使用 Certbot 在腾讯云生成 Let’s Encrypt 通配符证书完整教程

清静诗意2026-01-31 8:43

本文详细记录了在腾讯云环境下,通过 Certbot 获取和续期 Let's Encrypt 通配符证书的完整流程,包括 DNS API 配置、通配符证书申请、常见错误及解决方案。

1️⃣ 安装 Certbot

在 Ubuntu 系统中,推荐使用官方 PPA:

bash 复制代码 
sudo apt update
sudo apt install certbot python3-certbot-dns-tencentcloud -y
  • certbot:核心工具
  • python3-certbot-dns-tencentcloud:用于通过腾讯云 DNS API 获取通配符证书

确认安装成功:

bash 复制代码 
certbot --version

2️⃣ 配置腾讯云 DNS API 凭证

  1. 在腾讯云控制台创建 API 密钥

  2. 在服务器上创建凭证文件:

bash 复制代码 
mkdir -p /root/.secrets/certbot
vim /root/.secrets/certbot/tencentcloud.ini

内容示例:

ini 复制代码 
# 腾讯云 API 凭证
dns_tencentcloud_secret_id = YOUR_SECRET_ID
dns_tencentcloud_secret_key = YOUR_SECRET_KEY

修改权限,防止其他用户读取:

bash 复制代码 
chmod 600 /root/.secrets/certbot/tencentcloud.ini

3️⃣ 申请通配符证书

使用 TencentCloud DNS 插件申请证书:

bash 复制代码 
certbot certonly \
  --dns-tencentcloud-credentials /root/.secrets/certbot/tencentcloud.ini \
  --dns-tencentcloud-propagation-seconds 60 \
  -d xunhuawenyou.cn \
  -d "*.xunhuawenyou.cn"

操作说明:

  • certonly:只获取证书,不自动配置 Nginx
  • --dns-tencentcloud-credentials:API 凭证文件路径
  • --dns-tencentcloud-propagation-seconds:DNS 记录生效等待时间
  • -d:指定域名,可包含通配符

⚠️ 常见交互

  1. 如果已有 RSA 证书,会提示是否升级为 ECDSA:

    Update key type/(K)eep existing key type: U

选择 U

  1. 如果已有证书部分域名相同,会提示是否扩展证书:

    Do you want to expand and replace this existing certificate? (E)xpand/(C)ancel: E

选择 E 扩展。

4️⃣ 常见问题及解决方案

4.1 DNS API 授权失败

报错示例:

复制代码 
Error communicating with the DNSPOD API: http error status: 401

原因:

  • API 密钥错误
  • 使用了错误的 DNS 产品(腾讯云 DNS vs DNSPod)

解决方法:

  • 确认凭证文件内容正确
  • 确认域名在腾讯云 DNS 上托管
  • 文件权限为 600

4.2 Nginx 配置导致续期失败

报错示例:

复制代码 
nginx: [emerg] open() "/var/log/nginx/xunhuawenyou.cn/access.log" failed (2: No such file or directory)

解决方法:

  • 确认 Nginx 配置文件正确
  • 确保日志路径存在或切换 DNS 验证方式

5️⃣ 检查证书与文件路径

证书生成成功后路径:

复制代码 
证书文件:/etc/letsencrypt/live/xunhuawenyou.cn/fullchain.pem
私钥文件:/etc/letsencrypt/live/xunhuawenyou.cn/privkey.pem
证书有效期:至 2026-04-30

注意:使用通配符证书必须 DNS 验证。

6️⃣ 自动续期

Certbot 默认安装后会创建 systemd timer 自动续期。

检查定时任务:

bash 复制代码 
systemctl list-timers | grep certbot

手动测试续期:

bash 复制代码 
sudo certbot renew --dry-run

输出示例:

复制代码 
Simulating renewal of an existing certificate for xunhuawenyou.cn and *.xunhuawenyou.cn
Congratulations, all simulated renewals succeeded

⚠️ 注意事项:

  • 如果不再使用的域名可以删除对应的 renewal 配置:
bash 复制代码 
sudo rm /etc/letsencrypt/renewal/huaxianguan.com.conf
  • 确保 DNS API 密钥有效,续期才会成功

7️⃣ 总结

  • 在腾讯云使用 Certbot 获取通配符证书必须使用 DNS API 插件
  • 生成证书前需创建凭证文件,并设置 600 权限
  • 成功申请后,系统会自动创建定时任务续期
  • 定期用 --dry-run 检查续期情况
  • 不再使用的域名可以删除对应的 renewal 文件,避免续期错误
相关推荐
大任视点15 小时前
智绘秀番与腾讯云达成战略合作,推动 AI 动漫生产进入 Agent 协同时代
人工智能·云计算·腾讯云
翼龙云_cloud15 小时前
腾讯云代理商:腾讯云CloudBase操作常见问题解答
云计算·腾讯云·ai智能体
Maker 张18 小时前
树莓派上传温湿度模拟数据到腾讯云物联网平台
物联网·云计算·腾讯云
大写-凌祁2 天前
RS-Claw & XSkill 深度分析
人工智能·语言模型·云计算·腾讯云·agi
流烟默3 天前
腾讯云Centos7.6使用yum安装MySQL8
mysql·centos·腾讯云
林小卫很行3 天前
Obsidian 入门58:用 Remotely Save + 腾讯云 COS 实现多端同步
人工智能·云计算·腾讯云·知识管理·obsidian
康哥爱编程3 天前
鸿蒙应用开发之应用如何实现腾讯云对象存储?
python·云计算·腾讯云
Pocker_Spades_A3 天前
以技为念,以智为魂——用腾讯云Lighthouse+Hermes Agent+蓝耘MaaS,复刻恩师数字身影
云计算·腾讯云
云服务器租用费用3 天前
2026年腾讯云OpenClaw(Clawdbot)+Skills云上部署及Windows本地集成轻松入门
运维·服务器·数据库·windows·云计算·腾讯云
倔强的石头1063 天前
高吞吐+免配置!腾讯云轻量的 Hermes Agent部署指南
腾讯云·hermes
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结03Codex 下载安装指南:Windows 和 macOS 官方版下载042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07CC-Switch 下载、安装与使用配置指南【2026.5.29】08Agnes AI 全模态 API 免费实测报告:文生图 + 文生视频完整测试09CC-Switch & Claude 基于 Linux 服务器安装使用指南10AI科技热点日报 | 2026年6月1日