【摘要】Lets Encrypt提供免费SSL证书但有效期仅90天自动化续期是保障HTTPS服务不中断的关键。本文基于Nginx Ubuntu环境详细介绍Certbot申请证书、配置自动续期定时任务、模拟测试续期、外部监控兜底及Nginx安全参数优化的完整流程。关键词Lets Encrypt, Certbot, SSL证书, HTTPS, 自动续期, Nginx一、 问题背景Lets Encrypt免费证书有效期90天需定期续期。手动续期存在遗忘风险如cron任务因服务器迁移丢失导致证书过期、网站HTTPS不可用影响用户信任与SEO。本文提供一套经过验证的申请、续期、监控全自动化方案。二、 申请SSL证书环境Ubuntu Nginx2.1 安装Certbotbashsudo apt update sudo apt install certbot python3-certbot-nginx2.2 申请证书bashsudo certbot --nginx -d yourdomain.com -d www.yourdomain.com执行后Certbot将自动验证域名所有权通过HTTP-01方式签发证书修改Nginx配置文件添加SSL相关配置重载Nginx2.3 其他验证方式若服务器Nginx端口不对外开放可使用DNS验证bashsudo certbot --manual --preferred-challenges dns -d yourdomain.com此方式需在DNS控制台添加TXT记录适合CDN/负载均衡后端场景。三、 配置自动续期3.1 确认systemd timerCertbot安装时通常自动创建systemd timerbashsystemctl list-timers | grep certbot存在certbot.timer即表示自动续期已启用每天执行两次检查。3.2 手动添加cron定时任务备选方案若无systemd timer手动添加cronbashsudo crontab -e添加以下内容text0 0,12 * * * /usr/bin/certbot renew --quiet参数说明0,12每天0时与12时执行renew检查所有已签发证书到期前30天内执行续期--quiet成功时无输出失败时输出错误信息四、 测试续期是否正常在上线前执行模拟续期验证配置是否正确bashsudo certbot renew --dry-run期望输出textThe dry run was successful.常见报错与排查报错现象原因解决方案端口占用错误80/443端口被其他服务占用临时停用占用服务或使用DNS验证DNS解析失败域名未正确解析至服务器IP检查DNS A记录多域名证书需逐一确认连接超时防火墙未开放80/443端口检查安全组/iptables规则五、 外部监控兜底方案自动续期依赖系统cron、服务器时间等本地环境存在小概率失效可能。建议增加一层外部监控。方案使用SSL证书监控服务UptimeRobot等设置证书有效期 30天时发送邮件/钉钉通知。部分云厂商也提供类似功能阿里云SSL证书服务 → 证书监控腾讯云SSL证书管理 → 到期提醒六、 Nginx SSL安全配置优化6.1 基础配置Certbot生成的Nginx配置片段nginxserver { listen 443 ssl http2; server_name yourdomain.com; ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem; }6.2 安全增强配置nginx# 仅启用安全协议版本 ssl_protocols TLSv1.2 TLSv1.3; # 禁用弱加密套件 ssl_ciphers HIGH:!aNULL:!MD5; # 启用HSTS强制HTTPS访问有效期180天 add_header Strict-Transport-Security max-age15768000; includeSubDomains always; # SSL会话缓存优化 ssl_session_cache shared:SSL:10m; ssl_session_timeout 1d;HSTS说明启用后浏览器首次访问HTTPS后将记录该策略后续同域名请求自动升级为HTTPS避免302跳转开销与中间人攻击风险。七、 Lets Encrypt与云厂商免费证书对比维度Lets Encrypt云厂商免费证书阿里/腾讯有效期90天1年续期方式全自动Certbot手动申请-下载-上传-部署数量限制无约20个/账号集成便利性需服务器配置NginxCDN/负载均衡可一键关联适用场景自建服务器使用云厂商全托管服务的场景推荐策略自建服务器使用Lets Encrypt Certbot全自动方案业务已深度集成云厂商CDN/CLB时可选用云厂商证书简化运维。八、 服务器环境建议SSL证书申请与自动续期需在自有服务器上运行Certbot。若尚未购买服务器或面临实名认证、国际信用卡等注册障碍可考虑代理渠道。Ztopcloud支持邮箱注册与微信支付宝充值开通后可直接登录阿里云/腾讯云官方控制台操作与官网购买体验一致。九、 总结HTTPS是网站安全的基础设施。本文方案可实现三分钟申请证书Certbot一键完成全自动续期systemd timer或cron续期可靠性验证dry-run模拟测试多重保障外部监控兜底 Nginx安全加固完成以上配置后SSL证书管理即可实现“零运维”。