答案:通过安装 Certbot 并配置自动续签,可实现 Linux 系统中 SSL 证书的 自动化 更新。首先根据系统发行版使用 apt、yum 或 snap 安装 Certbot,并创建软链接;然后通过 –nginx、–apache或 –standalone 插件获取证书,证书存储在 /etc/letsencrypt/live/yourdomain.com/ 目录;接着运行 sudo certbot renew –dry-run 测试续签流程是否正常;系统通常会自动创建 systemd timer 或 cron 任务定时执行续签,需确保 certbot.timer 已启用;最后在 /etc/letsencrypt/renewal-hooks/post/ 目录下创建重载脚本(如 reload-nginx.sh),添加执行权限,使 Nginx 或 Apache 在证书更新后自动重载配置;定期查看 /var/log/letsencrypt/ 日志以监控状态,确保 HTTPS 服务长期安全稳定运行。
使用 Certbot 实现 Linux 上的自动化 SSL 证书更新是保障网站 HTTPS 安全性的关键步骤。Let’s Encrypt 提供免费证书,但有效期只有 90 天,因此必须配置自动续签。以下是如何在 Linux 系统中配置 Certbot 实现自动化证书更新的具体方法。
安装 Certbot 工具
不同发行版安装方式略有差异,以下是常见系统的安装命令:
- Ubuntu/Debian: sudo apt update && sudo apt install certbot
- CentOS/RHEL(启用 EPEL 后): sudo yum install certbot 或 sudo dnf install certbot
- 使用 Snap 安装(推荐通用方式): sudo snap install –classic certbot,然后执行 sudo ln -s /snap/bin/certbot /usr/bin/certbot 创建软链接
获取并安装 SSL 证书
首次申请证书时,根据你的 Web 服务类型选择对应插件。常用方式如下:
- 使用 Nginx 插件(自动配置): sudo certbot —nginx -d yourdomain.com -d www.yourdomain.com
- 使用 Apache 插件: sudo certbot —apache -d yourdomain.com
- 仅获取证书(手动配置服务器): sudo certbot certonly –standalone -d yourdomain.com(需确保 80 端口 临时可用)
运行过程中按提示填写 邮箱、同意协议即可完成证书签发。证书默认保存在 /etc/letsencrypt/live/yourdomain.com/ 目录下。
测试自动续签功能
Certbot 自带自动续签机制,通过 systemd 定时任务或 cron 自动运行。建议先手动测试续签流程是否正常:
- 模拟续签测试: sudo certbot renew –dry-run
该命令不会真正更新证书,但会验证配置是否正确、网络是否通畅、权限是否足够。若无报错,则说明自动续签可正常工作。
配置系统级自动续签
大多数系统在安装 Certbot 后会自动创建定时任务:
- 使用 systemd 的系统:检查是否存在 certbot.timer:运行 sudo systemctl list-timers | grep certbot
- 使用 cron 的系统:查看 /etc/cron.d/certbot 是否存在,内容通常为每天两次尝试续签
确保定时任务已启用。例如启用 systemd timer:sudo systemctl enable certbot.timer && sudo systemctl start certbot.timer
配合 Web 服务重载证书
证书更新后,Web 服务需要重新加载才能使用新证书。可在续签后自动触发重载:
编辑钩子脚本,在 /etc/letsencrypt/renewal-hooks/post/ 目录下创建脚本:
- 例如创建 reload-nginx.sh: sudo nano /etc/letsencrypt/renewal-hooks/post/reload-nginx.sh
- 写入内容:
#!/bin/bash
systemctl reload nginx - 添加执行权限: sudo chmod +x /etc/letsencrypt/renewal-hooks/post/reload-nginx.sh
这样每次证书成功续期后,Nginx 会自动重载配置,无需人工干预。
基本上就这些。只要初始配置正确,Certbot 能长期稳定地自动更新证书,保障服务安全运行。定期关注日志(如 /var/log/letsencrypt/)有助于及时发现潜在问题。
