Linux云服务器配置Let's Encrypt证书全攻略

一、准备工作

在开始配置之前，请确保您已完成以下准备工作：

• 已拥有一台Linux云服务器（推荐使用Ubuntu或CentOS）
• 拥有服务器root权限或sudo权限
• 已配置好域名并正确解析到服务器IP
• 服务器已开放80和443端口
• 已安装并运行Web服务器（如Nginx或Apache）

二、安装Certbot工具

Certbot是Let's Encrypt官方推荐的自动化证书管理工具。根据您的服务器操作系统，选择相应的安装方式：

1. Ubuntu/Debian系统安装

sudo apt update
sudo apt install certbot python3-certbot-nginx  # 使用Nginx
# 或
sudo apt install certbot python3-certbot-apache  # 使用Apache

2. CentOS/RHEL系统安装

sudo yum install epel-release
sudo yum install certbot python3-certbot-nginx  # 使用Nginx
# 或
sudo yum install certbot python3-certbot-apache  # 使用Apache

三、获取Let's Encrypt证书

根据您使用的Web服务器类型，选择相应的证书获取方式：

1. 使用Nginx服务器

sudo certbot --nginx -d example.com -d www.example.com

此命令会自动：

• 验证域名所有权
• 获取SSL证书
• 自动配置Nginx使用HTTPS
• 设置自动续期

2. 使用Apache服务器

sudo certbot --apache -d example.com -d www.example.com

过程与Nginx类似，Certbot会自动完成Apache配置。

3. 独立模式（适用于其他Web服务器）

sudo certbot certonly --standalone -d example.com -d www.example.com

此方式仅获取证书，不自动配置Web服务器。

四、验证证书安装

获取证书后，可通过以下方式验证：

1. 访问您的网站，检查浏览器地址栏是否有锁形图标
2. 运行命令检查证书信息：

   sudo openssl x509 -in /etc/letsencrypt/live/example.com/cert.pem -noout -text

3. 使用在线工具如SSL Labs测试您的SSL配置

五、配置自动续期

Let's Encrypt证书有效期为90天，配置自动续期至关重要：

1. 测试续期命令：

   sudo certbot renew --dry-run

2. 设置crontab自动任务：

   0 0 */7 * * certbot renew --quiet --post-hook "systemctl reload nginx"

六、高级配置选项

1. 通配符证书配置

sudo certbot certonly --manual --preferred-challenges=dns -d *.example.com -d example.com

需要手动添加DNS TXT记录进行验证。

2. 强制HTTPS重定向

在Nginx配置中添加：

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}

3. HSTS安全头配置

在Nginx的HTTPS server块中添加：

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

七、常见问题解决

1. 证书获取失败

检查域名解析是否正确，80端口是否开放，防火墙设置

2. 续期失败

检查Certbot日志：/var/log/letsencrypt/letsencrypt.log

3. 混合内容警告

确保网站所有资源都使用HTTPS链接