通过Certbot自动申请更新HTTPS网站的SSL证书-阿里云开发者社区

通过Certbot自动申请更新HTTPS网站的SSL证书

2025-08-10 147

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

容器镜像服务 ACR，镜像仓库100个不限时长

应用实时监控服务-可观测链路OpenTelemetry版，每月50GB免费额度

MSE Nacos/ZooKeeper 企业版试用，1600元额度，限量50份

简介： 本文介绍了如何通过 Certbot 自动申请并更新 HTTPS 网站的 SSL 证书，配合 Crontab 实现自动续签，解决云服务商免费证书仅限 3 个月有效期的问题，适用于 CentOS、Debian、Ubuntu 系统，支持 Nginx 和 Apache 服务器。

原文地址：通过Certbot自动申请更新HTTPS网站的SSL证书

现在很多云服务运营商免费的HTTPS证书有效期只有3个月，对于个人网站来说，这就很麻烦，现在可以用 Certbot + Crontab 自动申请并定期更新 HTTPS 网站的 SSL 证书，来解决我们这个痛点。

1. 安装 Certbot

不同系统安装方式略有不同，这里给你 CentOS / RHEL 和 Debian / Ubuntu 的常用方法。

CentOS / RHEL 7/8/9

# 安装 EPEL
sudo yum install epel-release -y

# 安装 Certbot 和 Nginx 插件（如果用 Apache 就换成 python3-certbot-apache）
sudo yum install certbot python3-certbot-nginx -y

Debian / Ubuntu

sudo apt update
sudo apt install certbot python3-certbot-nginx -y

2. 申请 SSL 证书

如果你用 Nginx：

sudo certbot --nginx -d example.com -d www.example.com

-d 参数后面写你的域名（可以多个）
Certbot 会自动修改 Nginx 配置并申请证书
申请过程中会让你选择是否重定向 HTTP → HTTPS

注意：这里需要你的nginx的conf文件里面的sercername指定对应的域名，如果你配置的是下划线 ""，会导致该命令运行失败，报下面的错误。

Could not automatically find a matching server block for zhangfeidezhu.com. Set the `server_name` directive to use the Nginx installer.

如果你用 Apache：

sudo certbot --apache -d example.com -d www.example.com

3. 测试证书是否生效

申请完成后，可以在浏览器访问你的域名，查看是否已经是有效的 Let's Encrypt 证书。

4. 自动更新证书

Let's Encrypt 证书有效期是 90 天，所以要自动续签。

Certbot 自带定时任务（通常是 /etc/cron.d/certbot 或 systemd 定时器），也可以手动添加 crontab：

sudo crontab -e

加入：

0 3 1 */3 * certbot renew --quiet --post-hook "nginx -s reload"

解释：

0 3 1 */3 * → 每隔 3 个月的1号3点执行一次
--quiet → 静默模式
--post-hook "nginx -s reload" → 续签后自动重载 Nginx

5. 检查自动续签是否正常

手动测试续签：

sudo certbot renew --dry-run

如果提示 Congratulations, all renewals succeeded，说明没问题。

✅ 这样配置后，你的网站 HTTPS 证书会在到期前自动续签，Nginx 会自动加载新证书，几乎可以做到“一劳永逸”。