Certbot自动续费Let‘s Encrypt证书

流程：Let's Encrypt会进行ca验证是否属于你的域名

使用 --webroot 模式会在 /var/www/example 中创建 .well-known 文件夹，这个文件夹里面包含了一些验证文件，certbot 会通过访问 example.com/.well-known/acme-challenge 来验证你的域名是否绑定的这个服务器。这个命令在大多数情况下都可以满足需求，

可以看下面的连接进行查看参考下，然后我这边就是可能是这个服务器做了什么限制，所以我采用dns解析的方案
连接

一、安装

# 安装 Certbot + 阿里云 DNS 插件 其他dns请看其他dns的方案问ai 
sudo apt update
sudo apt install -y certbot python3-pip
sudo pip3 install certbot-dns-aliyun

二、配置

sudo mkdir -p /etc/letsencrypt
sudo vim /etc/letsencrypt/aliyun.ini

写入（替换成你的 Key）：

dns_aliyun_access_key = LTAI5xxxxxx
dns_aliyun_access_key_secret = qomUxxxxxx

必须改权限（防止泄露）：

sudo chmod 600 /etc/letsencrypt/aliyun.ini

三、生成配置

-d xxx.com -d www.xxx.com是你的域名，生成成功后/etc/letsencrypt/live/xxx.com/证书的目录

sudo certbot certonly \
  --authenticator dns-aliyun \
  --dns-aliyun-credentials /etc/letsencrypt/aliyun.ini \
  --dns-aliyun-propagation-seconds 60 \
  -d xxx.com -d www.xxx.com

四、自动续费（关键）

1、测试自动续费

sudo certbot renew --dry-run

看到 Congratulations, all simulated renewals succeeded 即正常。

2、设置定时任务自动续费（自动续费后需要将证书替换docker里面，内容会变化）

sudo crontab -e

添加（每周一凌晨 3 点检查）：

0 3 * * * /usr/bin/certbot renew --quiet

或者配置定时任务（自动续期 + 重载 Nginx）

0 3 * * 1 /usr/bin/certbot renew --quiet --deploy-hook "systemctl reload nginx"

--quiet：静默，只在出错时输出。

--deploy-hook：续期成功后自动重载 Nginx。

五、应急手动处理

# 立即检查并续期（到期前才会执行）
sudo certbot renew
# 强制立即重签（测试用）
sudo certbot renew --force-renewal