作为网站管理员，你可能遇到过这样的弹窗警告：“您的SSL证书即将到期！” 尤其是使用 Let's Encrypt 等免费证书时，每3个月就要续期一次。如果忘记处理，用户访问网站时会看到“不安全”提示，甚至被浏览器拦截！今天就用大白话+真实案例，教你如何应对SSL免费证书到期问题。

一、为什么免费SSL证书会频繁到期？

免费证书（如Let's Encrypt）默认有效期只有 90天（付费证书通常1-2年），这是为了强制提升安全性：

- 降低风险：即使私钥泄露，攻击者能利用的时间窗口也很短。

- 自动化推动：鼓励用户配置自动续期，减少人为疏忽。

真实案例：某电商网站因证书过期导致支付页面被Chrome屏蔽，当天损失超10万订单！

二、如何检查证书是否快到期？

方法1：浏览器直接查看

1. 打开网站，点击地址栏的“锁”图标 → “连接是安全的” → “证书有效”。

2. 查看“有效期至”日期（如下图）。


方法2：命令行工具（适合技术人员）

```bash

openssl s_client -connect yourdomain.com:443 | openssl x509 -noout -dates

```

输出会显示证书的起止时间。

三、3种续期方法（附实操步骤）

? 场景1：使用Let's Encrypt + Certbot（推荐新手）

Certbot是官方自动化工具，一条命令搞定续期：

续期所有证书

certbot renew --dry-run

先模拟测试

certbot renew

正式续期

如果报错尝试强制更新

certbot certonly --force-renewal -d yourdomain.com

? 优势：完全免费，支持自动续期（搭配cron定时任务）。

? 场景2：宝塔面板用户（图形化操作）

1. 登录宝塔 → “网站” → 找到对应站点 → “SSL”选项卡。

2. 点击“Let's Encrypt” → “续签”按钮（如下图）。


?? 注意：确保服务器80/443端口开放，否则验证会失败！

? 场景3：其他免费证书（如ZeroSSL）

部分平台需要手动重新申请：

1. 登录ZeroSSL官网 → 输入域名 → 选择90天免费选项。

2. 完成DNS验证或文件验证后下载新证书。

3. 替换服务器上的旧证书文件并重启Web服务（Nginx/Apache）。

四、避坑指南——常见失败原因

1. 端口被占用或未开放：Let's Encrypt验证时需要临时占用80/443端口，如果被防火墙拦截会失败。

- *解决办法*：运行 `sudo ufw allow 80/tcp` （Ubuntu为例）。

2. 域名解析错误：比如旧证书绑定的是 `www.yourdomain.com`，但你现在用 `yourdomain.com`申请续期。

- *解决办法*：确保证书覆盖所有子域名（通配符或多次申请）。

3. 超过速率限制：Let's Encrypt限制每周每个域名最多签发50次。

- *解决办法*：用 `--dry-run`测试后再正式操作。

五、终极方案——配置自动续期脚本

彻底告别手动操作！以Linux + Cron为例：

1. 编辑定时任务：

```bash

crontab -e

```

2. 添加以下内容（每月自动检查并续期）：

0 */12 * * * /usr/bin/certbot renew --quiet --post-hook "systemctl reload nginx"

3. *解释*：

- `--quiet` ：静默运行不输出日志。

- `--post-hook` ：续期成功后自动重载Nginx。

与行动清单

? 定期检查工具推荐：

- [SSL Labs测试](https://www.ssllabs.com/ssltest/) ：全面分析证书状态。

- [监控宝](https://jiankongbao.com/) ：设置到期短信提醒。

?? 一句话口诀: “90天像闹钟，自动续期别放松；手动命令偶尔查，脚本监控更轻松。”

现在就去检查你的证书有效期吧！如果有问题欢迎留言讨论~

TAG:ssl 免费证书到期,ssl证书续费要钱吗,ssl证书过期立刻无法访问吗,ssl免费证书怎么续期,ssl证书收费和免费的区别