你打开阿里云控制台,准备给新域名申请一张免费SSL证书,结果弹出提示:"本年度免费证书额度已用完"------20张,用完了。
腾讯云也一样,免费证书额度从曾经的50张砍到20张,有效期从12个月缩短到3个月,还不支持泛域名。域名一多,20张根本不够分,每3个月还要手动续期4次,管理噩梦。
本文给你3种解决方案,从最简单的到最硬核的,看完就知道该怎么选。
一、先搞清楚:20张额度为什么不够用
很多人觉得20张够用了,但实际算一笔账就明白了:
| 场景 | 域名数量 | 每年需要证书数 | 20张够吗 |
|---|---|---|---|
| 个人博客,1个域名 | 1个(含www) | 1×4=4张 | ✓ |
| 小公司官网,3个域名 | 3个 | 3×4=12张 | 勉强 |
| 多站点运营,6个域名 | 6个 | 6×4=24张 | ✗ 超了 |
| 含子域名,10个域名 | 10个 | 10×4=40张 | ✗ 远远不够 |
注意:云平台免费证书的有效期只有3个月,一年需要续期4次,每次续期都消耗额度。所以6个域名一年就需要24张证书,直接超出限额。
更关键的是,阿里云和腾讯云的免费证书都不支持泛域名 。意味着 www.example.com 和 api.example.com 是两张不同的证书------如果按子域名算,10个子域名一年就要40张证书,20张额度连半年都撑不过。
云平台免费证书的三重限制
| 限制项 | 具体内容 | 带来的问题 |
|---|---|---|
| 年额度 | 20张/年 | 域名一多就用完,后半年无证可用 |
| 有效期 | 3个月 | 每年续期4次,遗忘风险极高 |
| 证书类型 | 仅单域名 | 每个子域名单独一张证书,管理成本指数级增长 |
三个限制叠加在一起,20张额度对于稍微有点规模的站点来说根本不够用。
二、方案一:换平台申请(推荐)
既然云平台限制多,最直接的思路就是换一个没有这些限制的平台。乐此云签 同样基于 Let's Encrypt 签发免费证书,但没有额度限制,没有有效期焦虑,还支持泛域名。
对比一下就知道差距有多大
| 对比项 | 阿里云/腾讯云免费证书 | 乐此云签 |
|---|---|---|
| 年额度 | 20张 | 无限制 |
| 证书类型 | 仅单域名 | 单域名/多域名/泛域名 |
| 有效期 | 3个月 | 3个月 |
| 自动续期 | 不支持(免费证书) | 一键配置,支持泛域名 |
| 图形化操作 | ✓ | ✓ |
| 费用 | 免费 | 免费 |
最大的区别在泛域名 和自动续期:
- 一张泛域名证书
*.example.com覆盖所有子域名,相当于省下了 N 张单域名证书 - 自动续期配置一次,证书到期前自动更新,3个月有效期不再是问题
3分钟完成证书申请
-
打开 乐此云签,注册并登录
-
点击 "申请证书",填写域名信息
- 单域名:直接输入
example.com - 泛域名:勾选 "泛域名,包含根域" ,一张证书覆盖
*.example.com+example.com - 多域名:按页面指引添加多个域名
- 单域名:直接输入
-
获取验证码后,平台自动生成 DNS 验证信息(支持 CNAME 验证),复制后去域名 DNS 管理控制台添加记录
-
回到平台点击 "立即验证",验证通过后证书自动签发
-
下载证书,选择对应服务器格式(Nginx/Apache/Tomcat/IIS)部署到服务器
DNS 解析生效通常需要几分钟,如果验证失败,等待2-3分钟后重试即可。
一键配置自动续期,3个月有效期不再是问题
申请完证书只是第一步,关键是怎么让证书到期前自动更新,不用每次手动操作:
-
在证书列表中点击 "自动续期"
-
按页面指引填写服务器信息(证书路径、密钥路径、服务器类型、重载命令等),平台自动生成一键部署脚本
-
将生成的命令复制到服务器执行一次即可
Linux + Nginx 示例:
bash
curl -o /usr/bin/letsencrypt-renew https://letsssl.cn/download/letsencrypt-renew
chmod +x /usr/bin/letsencrypt-renew
crontab -l > /etc/crontab && echo '18 4 10,25 * * root /usr/bin/letsencrypt-renew -token=你的Token -key_path=/data/nginx/ssl/example.com.key -server_type=nginx -cert_path=/data/nginx/ssl/example.com.cert -command="docker exec nginx nginx -s reload" -backup=true ' >> /etc/crontab
crontab /etc/crontab
/usr/bin/letsencrypt-renew -token=你的Token -key_path=/data/nginx/ssl/example.com.key -server_type=nginx -cert_path=/data/nginx/ssl/example.com.cert -command="docker exec nginx nginx -s reload" -backup=trueWindows + IIS 示例:
powershell
# 下载续期工具
Invoke-WebRequest -Uri "https://letsssl.cn/download/letsencrypt-renew.exe" -OutFile "C:\letsencrypt-renew.exe"
# 创建Windows计划任务(每月10日和25日凌晨4:18执行)
$action = New-ScheduledTaskAction -Execute "C:\letsencrypt-renew.exe" -Argument "-token=你的Token -cert_path=C:\ssl\example.com.pfx -server_type=iis -site_name=你的站点名 -backup=true"
$trigger = New-ScheduledTaskTrigger -Monthly -DaysOfMonth 10,25 -At 4:18AM
Register-ScheduledTask -TaskName "SSLAutoRenew" -Action $action -Trigger $trigger -RunLevel Highest
# 立即执行一次
C:\letsencrypt-renew.exe -token=你的Token -cert_path=C:\ssl\example.com.pfx -server_type=iis -site_name=你的站点名 -backup=true执行完成后自动创建定时任务,每15天检查一次,到期前自动续期并重载服务,续期前还会自动备份旧证书,防止异常导致服务中断。
算一笔账
以10个子域名为例,一年下来:
| 对比项 | 阿里云/腾讯云 | 乐此云签 |
|---|---|---|
| 需要证书数 | 10×4=40张 | 1张泛域名×4=4次续期(自动) |
| 额度是否够 | ✗ 20张远不够 | ✓ 无限制 |
| 手动续期次数 | 40次 | 0次(全自动) |
| 管理复杂度 | 10个证书文件分别维护 | 1个证书文件搞定 |
三、方案二:用 acme.sh 自己签发
如果你是命令行玩家,不想用任何第三方平台,可以用 acme.sh 直接调用 Let's Encrypt API 自己签发证书,理论上没有额度限制。
操作步骤
- 安装 acme.sh:
bash
curl https://get.acme.sh | sh -s email=your@email.com网络环境可能影响访问,需要确保能正常连接 get.acme.sh
- 配置 DNS API 并申请泛域名证书(以阿里云为例):
bash
export Ali_Key="你的AccessKeyId"
export Ali_Secret="你的AccessKeySecret"
~/.acme.sh/acme.sh --issue --dns dns_ali -d "*.example.com" -d example.com- 安装证书到 Nginx:
bash
~/.acme.sh/acme.sh --install-cert -d "*.example.com" \
--key-file /etc/nginx/ssl/example.com.key \
--fullchain-file /etc/nginx/ssl/example.com.pem \
--reloadcmd "systemctl reload nginx"acme.sh 会自动创建 cron 任务,在证书到期前自动续期。
适合谁
- 熟悉 Shell 脚本和 Linux 命令行的运维人员
- 不介意在服务器上明文存储云平台 API 密钥
- 有时间折腾 DNS API 配置和排错
不适合谁
- 不熟悉命令行的站长
- Windows 服务器用户(acme.sh 对 Windows 支持有限)
- 不想在服务器上存储 API 密钥(安全风险)
坦白说,acme.sh 的确能解决额度问题,但代价是陡峭的学习曲线和 API 密钥的安全风险。为了省几张证书的额度,去啃 Shell 脚本和 DNS API 配置,对大多数人来说并不划算。
四、方案三:购买云平台付费证书服务
如果你的站点全部部署在阿里云/腾讯云上,且预算允许,可以购买云平台的证书管理服务,享受自动续期和自动部署。
各云厂商收费情况
| 云厂商 | 自动续期费用 | 泛域名支持 | 适合场景 |
|---|---|---|---|
| 阿里云 | 约 ¥600/年起 | ✗ | 域名少、预算充裕的企业 |
| 腾讯云 | 约 ¥500/年起 | ✗ | 域名少、预算充裕的企业 |
| 华为云 | 约 ¥600/年起 | ✗ | 域名少、预算充裕的企业 |
注意
- 付费服务仍然不支持泛域名,每个子域名依然要单独一张证书
- 证书只能部署到对应云平台的产品上,跨平台使用受限
- 实际上还是受20张免费额度限制,只是付费服务帮你自动续期和部署
如果你只有一个域名且预算充裕,这是个省心的选择。但域名一多,不支持泛域名+付费这两个硬伤就暴露出来了。
五、3种方案对比
| 对比项 | 乐此云签 | acme.sh | 云平台付费服务 |
|---|---|---|---|
| 费用 | 免费 | 免费 | ¥500-600/年起 |
| 年额度 | 无限制 | 无限制 | 20张(免费部分) |
| 泛域名 | ✓ | ✓ | ✗ |
| 自动续期 | 一键配置 | 需配置DNS API | 付费后支持 |
| 图形化操作 | ✓ | ✗ | ✓ |
| 需要命令行 | 不需要 | 必须 | 不需要 |
| API密钥安全 | 不涉及 | 密钥明文存服务器 | 不涉及 |
| 跨平台支持 | Linux + Windows | 主要Linux | 仅限对应云平台 |
| 配置耗时 | 5分钟 | 30分钟-1小时+ | 10分钟+购买流程 |
六、常见问题
Q1:已经用了阿里云/腾讯云的免费证书,迁移到乐此云签麻烦吗?
不麻烦。在乐此云签重新申请证书后,只需替换服务器上的证书文件并重载服务即可。域名解析和网站配置不需要任何改动。建议在旧证书到期前完成迁移,避免服务中断。
Q2:乐此云签的证书和云平台的证书有什么区别?
基于 Let's Encrypt 签发,浏览器信任度完全一样。区别在于乐此云签支持泛域名证书、没有额度限制、且提供一键自动续期。云平台免费证书不支持泛域名,额度仅20张,免费证书不支持自动续期。
Q3:泛域名证书和单域名证书该怎么选?
如果你有2个以上子域名(如 www、api、blog),强烈建议选泛域名。一张 *.example.com 证书覆盖所有子域名,管理一张证书就够了。单域名证书每增加一个子域名就多一张证书,多域名场景下维护成本直线上升。
Q4:20张额度用完了还能申请吗?
阿里云和腾讯云的免费证书额度是按自然年计算的,每年1月1日重置。如果当年额度用完了,只能等到第二年,或者使用其他方案。这就是为什么提前切换到无额度限制的方案很重要------不要等到额度用完才着急。
Q5:我有多台服务器,证书怎么统一管理?
乐此云签支持多服务器统一管理:一个账号管理所有证书,每台服务器独立配置自动续期脚本,互不影响。相比云平台每台服务器单独操作,效率高得多。
七、总结
20张免费证书额度不够用,根本原因不是额度太少,而是不支持泛域名------每个子域名单独一张证书,额度消耗速度成倍增长。
三种解决方案,选择逻辑很清晰:
| 你的情况 | 推荐方案 |
|---|---|
| 想省事,域名多,不想折腾命令行 | 乐此云签 --- 零门槛+泛域名+自动续期 |
| Shell高手,追求极致控制 | acme.sh --- 功能强但门槛高 |
| 预算充裕,域名少,全在云平台 | 云平台付费服务 --- 省心但贵 |
对于绝大多数被20张额度卡住的站长来说,乐此云签是最优解:一张泛域名证书替代N张单域名证书,一键自动续期解决3个月有效期焦虑,无额度限制,全程图形化操作------5分钟就能完成迁移。
不要等证书过期了才想起来续期,现在就配置好自动续期,一劳永逸。
相关阅读: