在当今互联网环境中，SSL证书已成为网站安全的“标配”。无论是保护用户数据还是提升搜索引擎排名，HTTPS加密都不可或缺。但对于个人站长或中小企业来说，购买商业SSL证书可能是一笔不小的开销。好在有Let's Encrypt这样的免费CA（证书颁发机构），配合Certbot工具，可以轻松实现CentOS7上的SSL证书自动申请与续期。

本文将用最通俗的语言，手把手教你如何在CentOS7上全自动获取免费SSL证书，并解决常见问题。文末还会分享几个提升安全性的小技巧！

一、为什么要用免费SSL证书？

1. 成本为零：Let's Encrypt提供的DV（域名验证）证书完全免费，适合个人博客、测试环境等。

2. 自动化管理：通过Certbot工具可一键申请、续期，无需手动操作。

3. 同等加密强度：和付费证书一样支持TLS 1.3、SHA-256加密算法。

> 例子：假设你的网站是`example.com`，使用Let's Encrypt后，浏览器地址栏会显示??锁标志，和用付费证书的效果完全一致。

二、准备工作（3步搞定）

在开始前，确保你的CentOS7满足以下条件：

1. 拥有域名并解析到服务器（例如`example.com`指向IP `1.1.1.1`）。

2. 开放80/443端口（Certbot验证时需要）。

3. 已安装Web服务（如Nginx/Apache）。

> 常见坑点：如果服务器有防火墙或安全组（如AWS/Aliyun），需提前放行端口：

> ```bash

> sudo firewall-cmd --add-service={http,https} --permanent

> sudo firewall-cmd --reload

> ```

三、实战步骤：Certbot自动申请SSL证书

步骤1：安装Certbot和依赖包

```bash

sudo yum install epel-release -y

sudo yum install certbot python2-certbot-nginx -y

如果用Nginx

或用Apache版：sudo yum install certbot python2-certbot-apache -y

```

步骤2：一键申请证书（以Nginx为例）

运行以下命令，按提示输入邮箱和域名：

sudo certbot --nginx -d example.com -d www.example.com

Certbot会自动完成：

- 域名所有权验证（通过HTTP访问挑战文件）。

- 生成证书并保存在`/etc/letsencrypt/live/example.com/`。

- 修改Nginx配置启用HTTPS。

步骤3：测试自动续期

Let's Encrypt证书有效期仅90天，但Certbot已内置自动续期任务：

sudo certbot renew --dry-run

模拟续期测试

若看到“Congratulations”字样，说明未来到期时会自动续签。

四、高级优化技巧

1. 强制HTTPS跳转（Nginx配置示例）

```nginx

server {

listen 80;

server_name example.com;

return 301 https://$host$request_uri;

所有HTTP请求跳转到HTTPS

}

2. 提升安全性（禁用老旧协议）

在Nginx的SSL配置中添加：

ssl_protocols TLSv1.2 TLSv1.3;

ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';

3. 多域名批量申请

certbot --nginx -d domain1.com -d domain2.com -d *.sub.domain1.com

五、常见问题FAQ

- Q: Certbot报错`Failed to connect to host for DVSNI challenge`怎么办？

A: 检查80端口是否被占用或防火墙拦截，临时关闭防火墙测试：`systemctl stop firewalld`。

- Q: Let's Encrypt有申请频率限制吗？

A: 每个域名每周最多签发50次证书，超过会报错`Too many certificates already issued`。

*

通过Certbot+Let's Encrypt的组合，你可以零成本实现CentOS7的HTTPS加密。整个过程只需几条命令，甚至比手动购买证书更省时！如果你遇到问题，欢迎在评论区留言交流～

> ?? SEO关键词扩展：CentOS7 SSL配置、Let's Encrypt自动续期、Nginx HTTPS强制跳转、Certbot命令详解

TAG:centos7免费ssl证书自动申请,centos ssl证书,centos7 ssl,centos7免费许可证密钥