HTTPS/SSL 证书完全指南：从申请到部署再到自动续期

HTTPS 已经不是可选功能，而是网站安全的基本要求。2026 年，浏览器对 HTTP 网站的警告更加严厉，搜索引擎也将 HTTPS 作为重要的排名因素。本文从证书原理到实战部署，全面讲解 HTTPS/SSL 证书的完整知识体系。

本文内容包括：

SSL/TLS 协议原理与版本选择
证书类型对比（DV/OEV/OV/EV）
Let’s Encrypt 与 ACME 协议详解
certbot 自动申请与续期配置
Nginx/Apache/Caddy 证书部署
HSTS 与 HTTPS 安全加固
证书监控与告警
常见问题排错与最佳实践

一、SSL/TLS 基础概念#

1.1 HTTPS 工作原理#

1
客户端请求 → TCP 握手 → TLS 握手 → 加密通信
2
              ↓              ↓
3
         建立连接      证书验证 + 密钥交换

TLS 握手流程：

Client Hello：客户端发送支持的 TLS 版本、加密套件列表、随机数
Server Hello：服务端选择 TLS 版本和加密套件、发送随机数、服务器证书
Certificate Verify：客户端验证证书有效性
Key Exchange：协商对称密钥（使用服务端公钥加密）
Finished：双方确认加密通道建立

1.2 TLS 版本选择#

协议版本	状态	安全性	推荐
SSL 2.0	废弃	严重漏洞	❌ 禁用
SSL 3.0	废弃	POODLE 漏洞	❌ 禁用
TLS 1.0	废弃	BEAST 漏洞	❌ 禁用
TLS 1.1	废弃	RC4 漏洞	❌ 禁用
TLS 1.2	当前标准	安全	✅ 推荐
TLS 1.3	最新标准	更安全更快	✅ 强烈推荐

1.3 加密套件选择#

1
# 推荐的加密套件优先级（Nginx 配置）
2
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256;
3

4
# 禁用的弱加密套件
5
# - MD5, SHA1（哈希算法太弱）
6
# - RC4（流密码不安全）
7
# - 3DES（过时且慢）
8
# - RSA 密钥交换（不支持前向保密）

二、证书类型对比#

2.1 证书类型概览#

类型	验证级别	信任度	价格	适用场景
DV（域名验证）	仅验证域名所有权	基础信任	免费	个人博客、小型网站
OEV（组织验证增强）	验证域名+组织信息	中等信任	低-中	中小企业网站
OV（组织验证）	严格验证组织身份	高信任	中-高	企业官网、电商
EV（扩展验证）	最严格验证	最高信任	高	金融机构、政府网站

2.2 Let’s Encrypt 证书#

Let’s Encrypt 是由 ISRG（Internet Security Research Group）运营的免费证书颁发机构：

特性	说明
免费	永久免费，无隐藏费用
有效期	90 天
自动续期	通过 ACME 协议自动续期
类型	DV 证书
支持	单域名、通配符域名
兼容性	支持所有现代浏览器

2.3 商业证书对比#

厂商	价格（单域名/年）	特点
Let’s Encrypt	免费	自动续期，DV 级别
Cloudflare	免费	集成 CDN，自动管理
DigiCert	¥200-500	全球信任，OV/EV
GlobalSign	¥300-800	多域名支持
Comodo	¥100-400	价格实惠

三、Let’s Encrypt 证书申请#

3.1 ACME 协议原理#

ACME（Automatic Certificate Management Environment）是 Let’s Encrypt 使用的自动化协议：

1
客户端(certbot)          ACME服务器(Let's Encrypt)          DNS服务器
2
      │                        │                               │
3
      ├─→ 请求证书 ────────────→│                               │
4
      │                        │                               │
5
      │←─ 挑战类型 ────────────┤                               │
6
      │                        │                               │
7
      │─→ HTTP-01 挑战 ────────→│                               │
8
      │                        │                               │
9
      │←─ 验证成功 ────────────┤                               │
10
      │                        │                               │
11
      │←─ 签发证书 ────────────┤                               │
12
      │                        │                               │

挑战类型：

HTTP-01：在网站根目录放置验证文件
DNS-01：在域名 DNS 中添加 TXT 记录（支持通配符证书）
TLS-ALPN-01：通过 TLS 握手验证

3.2 使用 certbot 申请证书#

1
# 安装 certbot（Ubuntu/Debian）
2
sudo apt update && sudo apt install certbot python3-certbot-nginx
3

4
# 安装 certbot（CentOS/RHEL）
5
sudo dnf install certbot python3-certbot-nginx
6

7
# 安装 certbot（macOS）
8
brew install certbot
9

10
# 自动检测并配置 Nginx（最简单）
11
sudo certbot --nginx -d example.com -d www.example.com
12

13
# 仅获取证书（不自动配置）
14
sudo certbot certonly --nginx -d example.com
15

16
# 使用 DNS 挑战（适用于通配符证书）
17
sudo certbot certonly --dns-cloudflare -d "*.example.com" -d example.com
18

19
# 测试续期（不实际执行）
20
sudo certbot renew --dry-run
21

22
# 强制续期
23
sudo certbot renew --force-renewal

3.3 certbot 自动续期配置#

1
# certbot 默认会创建 cron 任务或 systemd timer
2
# 检查自动续期配置
3
systemctl list-timers | grep certbot
4

5
# 手动创建 cron 任务（如果未自动创建）
6
# 每月 1 号凌晨 2 点检查续期
7
echo "0 2 1 * * root certbot renew --quiet" | sudo tee /etc/cron.d/certbot
8

9
# 验证续期配置
10
certbot renew --dry-run

3.4 获取通配符证书#

1
# 方法 1：使用 Cloudflare DNS
2
# 需要安装 cloudflare 插件
3
pip install certbot-dns-cloudflare
4

5
# 创建 Cloudflare API 令牌配置
6
mkdir -p ~/.secrets/certbot
7
cat > ~/.secrets/certbot/cloudflare.ini << 'EOF'
8
dns_cloudflare_api_token = YOUR_CLOUDFLARE_API_TOKEN
9
EOF
10
chmod 600 ~/.secrets/certbot/cloudflare.ini
11

12
# 申请通配符证书
13
certbot certonly \
14
  --dns-cloudflare \
15
  --dns-cloudflare-credentials ~/.secrets/certbot/cloudflare.ini \
16
  -d "*.example.com" \
17
  -d example.com
18

19
# 方法 2：手动 DNS 验证
20
certbot certonly \
21
  --manual \
22
  --preferred-challenges dns \
23
  -d "*.example.com"
24
# 按照提示添加 TXT 记录到 DNS

四、证书部署实战#

4.1 Nginx 配置#

1
server {
2
    listen 80;
3
    server_name example.com www.example.com;
4

5
    # HTTP 强制重定向到 HTTPS
6
    return 301 https://$host$request_uri;
7
}
8

9
server {
10
    listen 443 ssl http2;
11
    server_name example.com www.example.com;
12

13
    # 证书文件路径
14
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
15
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
16

17
    # TLS 版本配置
18
    ssl_protocols TLSv1.2 TLSv1.3;
19

20
    # 加密套件
21
    ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
22
    ssl_prefer_server_ciphers on;
23

24
    # 会话缓存（提升性能）
25
    ssl_session_cache shared:SSL:10m;
26
    ssl_session_timeout 10m;
27
    ssl_session_tickets off;
28

29
    # OCSP Stapling（提升性能和隐私）
30
    ssl_stapling on;
31
    ssl_stapling_verify on;
32

33
    # HSTS（强制 HTTPS）
34
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
35

36
    # 安全相关头部
37
    add_header X-Content-Type-Options nosniff;
38
    add_header X-Frame-Options DENY;
39
    add_header X-XSS-Protection "1; mode=block";
40
    add_header Referrer-Policy strict-origin-when-cross-origin;
41

42
    # 网站根目录
43
    root /var/www/example.com;
44
    index index.html;
45
}

4.2 Apache 配置#

1
<VirtualHost *:80>
2
    ServerName example.com
3
    ServerAlias www.example.com
4

5
    # 重定向到 HTTPS
6
    Redirect permanent / https://example.com/
7
</VirtualHost>
8

9
<VirtualHost *:443>
10
    ServerName example.com
11
    ServerAlias www.example.com
12

13
    # 证书配置
14
    SSLEngine on
15
    SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
16
    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
17

18
    # TLS 配置
19
    SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
20
    SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
21
    SSLHonorCipherOrder on
22

23
    # HSTS
24
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
25

26
    # 安全头部
27
    Header always set X-Content-Type-Options nosniff
28
    Header always set X-Frame-Options DENY
29
    Header always set X-XSS-Protection "1; mode=block"
30

31
    # 文档根目录
32
    DocumentRoot /var/www/example.com
33
</VirtualHost>

4.3 Caddy 配置（自动 HTTPS）#

1
# Caddy 2.x 配置（自动获取和续期证书）
2
example.com {
3
    # 自动 HTTPS（Let's Encrypt）
4
    tls {
5
        dns cloudflare YOUR_CLOUDFLARE_API_TOKEN
6
    }
7

8
    # 重定向 www 到 non-www
9
    redir www.example.com example.com permanent
10

11
    # 静态文件服务
12
    root * /var/www/example.com
13
    file_server
14

15
    # HSTS 默认启用，max-age=15768000
16
}

4.4 测试配置#

1
# 测试 Nginx 配置
2
nginx -t
3

4
# 测试 Apache 配置
5
apache2ctl configtest
6

7
# 重载配置
8
nginx -s reload
9
systemctl reload apache2
10

11
# 使用 SSL Labs 测试
12
curl -s https://www.ssllabs.com/ssltest/analyze.html?d=example.com

五、HSTS 配置与安全加固#

5.1 HSTS 响应头详解#

1
# 基础配置（推荐）
2
add_header Strict-Transport-Security "max-age=31536000" always;
3

4
# 包含子域名
5
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
6

7
# 申请加入 HSTS 预加载列表
8
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

参数说明：

max-age：浏览器记住强制 HTTPS 的时间（秒），推荐 31536000（1年）
includeSubDomains：应用到所有子域名
preload：申请加入 HSTS 预加载列表（需在 hstspreload.org 注册）

5.2 HSTS 预加载申请#

1
# 1. 配置 HSTS 响应头（包含 preload 选项）
2
# 2. 访问 https://hstspreload.org/
3
# 3. 输入域名，检查是否符合要求
4
# 4. 提交申请（审核时间约 1-2 周）
5

6
# 检查域名是否在预加载列表中
7
curl -s https://hstspreload.org/api/v2/status/example.com

5.3 安全响应头汇总#

响应头	作用	推荐值
`Strict-Transport-Security`	强制 HTTPS	`max-age=31536000; includeSubDomains; preload`
`X-Content-Type-Options`	防止 MIME 嗅探	`nosniff`
`X-Frame-Options`	防止点击劫持	`DENY`
`X-XSS-Protection`	启用 XSS 保护	`1; mode=block`
`Referrer-Policy`	控制 Referrer 发送	`strict-origin-when-cross-origin`
`Content-Security-Policy`	内容安全策略	按需配置

六、证书监控与告警#

6.1 监控证书有效期#

1
# 检查所有证书有效期
2
certbot certificates
3

4
# 查看单个证书详情
5
certbot certificates --cert-name example.com
6

7
# 使用 openssl 检查
8
openssl x509 -in /etc/letsencrypt/live/example.com/cert.pem -noout -dates
9

10
# 检查远程证书
11
openssl s_client -connect example.com:443 </dev/null 2>/dev/null | openssl x509 -noout -dates
12

13
# 编写监控脚本
14
cat > /usr/local/bin/check-cert-expiry.sh << 'EOF'
15
#!/bin/bash
16
DOMAIN="example.com"
17
DAYS_BEFORE=30
18

19
EXPIRY=$(openssl s_client -connect ${DOMAIN}:443 </dev/null 2>/dev/null | \
20
  openssl x509 -noout -enddate | cut -d= -f2)
21

22
EXPIRY_EPOCH=$(date -d "$EXPIRY" +%s)
23
NOW_EPOCH=$(date +%s)
24
DAYS_LEFT=$(( (EXPIRY_EPOCH - NOW_EPOCH) / 86400 ))
25

26
if [ $DAYS_LEFT -lt $DAYS_BEFORE ]; then
27
    echo "ALERT: Certificate for ${DOMAIN} expires in ${DAYS_LEFT} days!"
28
    # 发送邮件告警
29
    echo "Certificate expiry alert" | mail -s "SSL Certificate Expiry Alert: ${DOMAIN}" admin@example.com
30
else
31
    echo "OK: Certificate for ${DOMAIN} expires in ${DAYS_LEFT} days"
32
fi
33
EOF
34

35
chmod +x /usr/local/bin/check-cert-expiry.sh
36

37
# 添加到 cron（每天检查）
38
echo "0 9 * * * root /usr/local/bin/check-cert-expiry.sh" | sudo tee /etc/cron.d/check-cert

6.2 使用 Prometheus + Grafana 监控#

1
# prometheus.yml 配置
2
scrape_configs:
3
  - job_name: 'ssl_certificates'
4
    scrape_interval: 1d
5
    metrics_path: /probe
6
    params:
7
      module: [ssl_expiry]
8
    static_configs:
9
      - targets:
10
        - example.com:443
11
        - api.example.com:443
12
    relabel_configs:
13
      - source_labels: [__address__]
14
        target_label: __param_target
15
      - source_labels: [__param_target]
16
        target_label: instance
17
      - target_label: __address__
18
        replacement: localhost:9115  # blackbox exporter
19

20
# blackbox exporter 配置
21
modules:
22
  ssl_expiry:
23
    prober: http
24
    http:
25
      tls_config:
26
        insecure_skip_verify: false
27
      valid_http_versions: ["HTTP/1.1", "HTTP/2"]
28
      preferred_ip_protocol: "ip4"

七、常见问题排错#

Q1: 证书申请失败（HTTP-01 挑战）#

1
# 常见原因：
2
# 1. 80 端口被占用（检查 Nginx/Apache 配置）
3
# 2. 防火墙阻止了 80 端口
4
# 3. 网站根目录权限问题
5
# 4. CDN 或代理拦截了请求
6

7
# 解决步骤：
8
# 1. 检查 80 端口
9
netstat -tlnp | grep :80
10

11
# 2. 检查防火墙
12
ufw status
13
# 确保 80/tcp 已允许
14

15
# 3. 验证网站可访问
16
curl http://example.com/.well-known/acme-challenge/test
17

18
# 4. 临时关闭 CDN 或代理

Q2: 证书续期失败#

1
# 常见原因：
2
# 1. certbot 版本过旧
3
# 2. 自动续期任务未正确配置
4
# 3. DNS 变更导致验证失败
5
# 4. 服务器时间不正确
6

7
# 解决步骤：
8
# 1. 更新 certbot
9
sudo certbot renew --dry-run
10

11
# 2. 检查 cron/timer
12
systemctl status certbot.timer
13

14
# 3. 手动测试续期
15
certbot renew --force-renewal
16

17
# 4. 检查服务器时间
18
date

Q3: 浏览器显示证书不安全#

1
# 常见原因：
2
# 1. 证书过期
3
# 2. 证书链不完整（缺少 intermediate CA）
4
# 3. 证书域名不匹配
5
# 4. 浏览器缓存旧证书
6

7
# 解决步骤：
8
# 1. 检查证书状态
9
certbot certificates
10

11
# 2. 检查证书链
12
openssl s_client -connect example.com:443 -showcerts
13

14
# 3. 确保使用 fullchain.pem（包含完整证书链）
15
# Nginx: ssl_certificate /path/to/fullchain.pem;
16

17
# 4. 清除浏览器缓存

Q4: OCSP Stapling 不工作#

1
# 检查 OCSP Stapling 状态
2
openssl s_client -connect example.com:443 -status </dev/null 2>&1 | grep OCSP
3

4
# 确保配置正确
5
# Nginx:
6
ssl_stapling on;
7
ssl_stapling_verify on;
8
resolver 8.8.8.8 8.8.4.4 valid=300s;
9
resolver_timeout 5s;

Q5: 通配符证书不生效#

1
# 检查 DNS 记录
2
nslookup example.com
3
nslookup subdomain.example.com
4

5
# 确保证书包含所有域名
6
certbot certificates --cert-name example.com
7

8
# 检查服务器配置中是否正确引用证书

八、最佳实践总结#

✅ 推荐配置清单#

项目	推荐值
TLS 版本	TLS 1.2 + TLS 1.3
加密套件	优先 ChaCha20-Poly1305 和 AES-GCM
HSTS	`max-age=31536000; includeSubDomains; preload`
证书有效期	90 天（自动续期）
证书类型	Let’s Encrypt（免费）或商业证书（OV/EV）
OCSP Stapling	启用
会话缓存	启用（shared:SSL:10m）

✅ 安全检查清单#

1
# 1. 禁用弱协议和套件
2
# 2. 启用 HSTS
3
# 3. 配置安全响应头
4
# 4. 使用完整证书链（fullchain.pem）
5
# 5. 定期检查证书有效期
6
# 6. 自动续期测试（certbot renew --dry-run）
7
# 7. 使用 SSL Labs 测试（A+ 评级）
8
# 8. 私钥文件权限（chmod 600）

✅ 性能优化#

1
# 启用 HTTP/2
2
# Nginx: listen 443 ssl http2;
3

4
# 启用 OCSP Stapling
5
ssl_stapling on;
6

7
# 配置会话复用
8
ssl_session_cache shared:SSL:10m;
9

10
# 使用 TLS 1.3（更快的握手）
11
ssl_protocols TLSv1.2 TLSv1.3;
12

13
# 启用 Brotli 压缩
14
brotli on;
15
brotli_types text/plain text/css application/json application/javascript;

总结：HTTPS 配置是网站安全的基础，2026 年已没有理由不启用 HTTPS。借助 Let’s Encrypt 和 certbot，证书申请和续期可以完全自动化。关键是配置好 TLS 版本、加密套件、HSTS 和安全响应头，定期监控证书状态，确保网站始终安全可靠。

HTTPS/SSL 证书完全指南：从申请到部署再到自动续期 | 2026最新实践