可通过Certbot从Let’s Encrypt免费获取并自动部署SSL证书:先安装Certbot及Nginx插件,再验证Nginx与DNS配置,接着执行sudo certbot --nginx申请证书并重定向HTTP到HTTPS,最后测试自动续期并确认证书路径与Nginx配置已更新。
如果您希望在Linux服务器上为Nginx站点启用HTTPS,但尚未配置SSL证书,则可通过Certbot工具从Let’s Encrypt免费获取并自动部署证书。以下是完成证书申请、安装Certbot及配置Nginx自动续期的具体操作步骤:
一、安装Certbot及Nginx插件
Certbot是Let’s Encrypt官方推荐的ACME客户端,其Nginx插件可自动修改配置并重载服务,避免手动干预Nginx配置文件。需确保系统已启用EPEL(CentOS/RHEL)或具备snap支持(Ubuntu/Debian较新版本)。
1、对于Ubuntu 20.04及以上版本,运行:sudo apt update && sudo apt install certbot python3-certbot-nginx
2、对于CentOS 8/RHEL 8,先启用EPEL源后执行:sudo dnf install epel-release && sudo dnf install certbot python3-certbot-nginx
3、对于未预装snap的旧版系统(如Ubuntu 18.04),可改用snap安装:sudo snap install --classic certbot && sudo ln -s /snap/bin/certbot /usr/bin/certbot
二、验证Nginx配置与域名解析状态
在申请证书前,Certbot需通过HTTP-01挑战验证您对域名的控制权。这要求Nginx已正确监听80端口,且目标域名A记录已解析至当前服务器IP,并能被公网访问。
1、检查Nginx是否运行:sudo systemctl is-active nginx
2、确认站点server块中包含有效server_name,例如:server_name example.com www.example.com;
3、使用dig命令验证DNS解析:dig +short example.com A,输出应为当前服务器公网IP
三、使用Certbot为Nginx站点申请并部署证书
Certbot的--nginx模式会自动检测Nginx配置、插入SSL指令、更新证书路径,并重载服务,全程无需手动编辑conf文件。
1、执行交互式申请命令:sudo certbot --nginx -d example.com -d www.example.com
2、按提示输入邮箱地址用于紧急通知(非强制但建议填写)
3、选择是否将HTTP请求自动重定向到HTTPS:2: Redirect - Make all requests redirect to secure HTTPS access
四、手动测试证书自动续期功能
Let’s Encrypt证书有效期为90天,Certbot默认配置了systemd timer或cron任务定期执行续期检查。手动运行可验证流程是否就绪,避免到期失效。
1、模拟续期过程(不实际更新):sudo certbot renew --dry-run
2、若返回“Congratulations, all simulated renewals succeeded”,说明配置正常
3、查看系统级定时任务是否存在:sudo systemctl list-timers | grep certbot(systemd环境)或sudo crontab -l | grep certbot(cron环境)
五、检查证书文件位置与Nginx配置变更
成功部署后,Certbot将证书文件存于/etc/letsencrypt/live/目录下,并自动更新Nginx server块中的ssl_certificate与ssl_certificate_key指令,指向对应符号链接。
1、确认证书路径有效性:sudo ls -l /etc/letsencrypt/live/example.com/,应包含fullchain.pem与privkey.pem
2、检查Nginx配置是否已注入SSL参数:sudo nginx -T 2>/dev/null | grep -A5 "ssl_certificate"
3、验证HTTPS响应头:curl -I https://example.com,响应中应含HTTP/2 200及Strict-Transport-Security字段
