如何启用 HTTPS 并配置免费的 SSL 证书
在 Linux 服务器上启用 HTTPS 并配置免费的 SSL 证书(以 Let's Encrypt 为例)可以通过以下步骤完成:
---
### **一、准备工作**
1. **确保域名已解析**
- 你的域名(如 `example.com`)必须正确解析到服务器的公网 IP。
- 验证方法:`ping example.com` 或 `nslookup example.com`。
2. **安装 Web 服务器**
- 确保已安装 Nginx/Apache 并正常运行(以下以 Nginx 为例):
```bash
sudo apt update && sudo apt install nginx # Debian/Ubuntu
sudo dnf install nginx # Fedora/RHEL
sudo systemctl start nginx
```
3. **开放防火墙端口**
- 允许 HTTPS(443)和 HTTP(80)流量:
```bash
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw reload
```
---
### **二、安装 Certbot(Let's Encrypt 客户端)**
Certbot 是 Let's Encrypt 的官方工具,支持自动获取和续签证书。
1. **安装 Certbot**
```bash
# Debian/Ubuntu
sudo apt update
sudo apt install certbot python3-certbot-nginx
# Fedora/RHEL
sudo dnf install certbot python3-certbot-nginx
# CentOS 7 (需先启用 EPEL)
sudo yum install epel-release
sudo yum install certbot python2-certbot-nginx
```
2. **获取 SSL 证书(自动配置 Nginx)**
```bash
sudo certbot --nginx -d example.com -d www.example.com
```
- 按提示输入邮箱(用于紧急通知)。
- 同意服务条款后,Certbot 会自动修改 Nginx 配置并启用 HTTPS。
3. **验证证书是否生效**
- 访问 `https://example.com`,确认浏览器显示 安全标识。
- 检查证书信息:
```bash
sudo certbot certificates
```
---
### **三、手动配置 Nginx(可选)**
如果 Certbot 未自动配置,可手动修改 Nginx 配置(`
/etc/nginx/sites-available/example.com`):
```nginx
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$host$request_uri; # 强制跳转 HTTPS
}
server {
listen 443 ssl;
server_name example.com www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
# 强化安全配置
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES128-GCM-SHA256';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
# 其他配置(如根目录、代理等)
root /var/www/html;
index index.html;
}
```
- 测试并重载 Nginx:
```bash
sudo nginx -t # 测试配置
sudo systemctl reload nginx
```
---
### **四、自动续签证书**
Let's Encrypt 证书有效期为 90 天,需定期续签。
1. **测试续签命令**
```bash
sudo certbot renew --dry-run
```
2. **设置定时任务**(每月自动续签)
```bash
sudo crontab -e
```
添加以下行:
```cron
0 3 * * * /usr/bin/certbot renew --quiet --post-hook "systemctl reload nginx"
```
- 每天凌晨 3 点检查续签,仅当证书快到期时才会实际续签。
---
### **五、其他免费 SSL 证书方案**
1. **Cloudflare**
- 适用于使用 Cloudflare CDN 的站点,提供灵活的自签名证书(无需服务器安装)。
2. **ZeroSSL**
- 提供网页端或 API 签发免费证书(支持 90 天)。
---
### **常见问题**
1. **证书申请失败**
- 检查域名解析是否正确、服务器 80/443 端口是否开放。
- 确保没有防火墙或安全组拦截 Let's Encrypt 的验证请求(HTTP-01 挑战)。
2. **混合内容警告**
- 确保网页内所有资源(图片、JS/CSS)使用 `https://` 链接。
3. **多域名/通配符证书**
- Let's Encrypt 支持通配符证书(需 DNS 验证):
```bash
sudo certbot certonly --manual --preferred-challenges=dns -d *.example.com
```
---
通过以上步骤,你可以快速为网站启用 HTTPS,提升安全性和 SEO 排名。Let's Encrypt 的自动化工具大幅降低了 SSL 证书的管理成本。