如何免费申请个人证书？详细步骤一次掌握！

个人免费证书申请实验步骤

准备工作

1. 确认域名所有权
   确保你拥有需要申请证书的域名,并能通过DNS解析或服务器文件上传进行验证。

2. 服务器环境要求

   • 一台已部署网站的服务器（如Ubuntu/CentOS）。
   • 开放80或443端口（用于域名验证）。
   • 安装Python 3.x及Git工具（部分工具依赖）。

选择证书颁发机构（CA）

推荐使用 Let’s Encrypt，提供免费、自动化的SSL/TLS证书，支持泛域名（Wildcard）和单域名。

安装证书管理工具

以 Certbot 为例（Let’s Encrypt官方推荐工具）：

# Ubuntu/Debian
sudo apt update
sudo apt install certbot
# CentOS
sudo yum install certbot

若系统支持Snap（推荐）：

sudo snap install --classic certbot

申请免费证书

步骤1：生成证书
运行以下命令（以单域名为例）：

sudo certbot certonly --standalone -d 你的域名.com

• --standalone：使用独立模式验证域名（需暂时关闭占用80/443端口的服务）。
• 若需要泛域名证书，添加 -d *.你的域名.com 并使用DNS验证：

  sudo certbot certonly --manual --preferred-challenges dns -d *.你的域名.com

步骤2：完成域名验证

• HTTP验证：Certbot会自动生成验证文件,确保域名可通过HTTP访问。
• DNS验证：根据提示在域名DNS中添加TXT记录。

安装并配置证书

证书生成后，保存在 /etc/letsencrypt/live/你的域名/ 目录,包含：

• fullchain.pem：证书链
• privkey.pem：私钥

Nginx配置示例：

server {
    listen 443 ssl;
    server_name 你的域名.com;
    ssl_certificate /etc/letsencrypt/live/你的域名.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/你的域名.com/privkey.pem;
    # 其他配置...
}

重启Nginx生效：

sudo systemctl restart nginx

配置自动续期

Let’s Encrypt证书有效期为90天,需设置自动续期：

1. 使用Certbot自动续期命令：

   sudo certbot renew --dry-run

2. 添加定时任务（Crontab）：

   # 每月1号凌晨3点执行续期
   0 3 1 * * sudo certbot renew --quiet

验证证书状态

1. 访问 SSL Labs测试 输入域名，检查评分是否为A+。
2. 浏览器访问 https://你的域名.com,确认显示锁标志。

注意事项

• 私钥安全：勿泄露 privkey.pem,建议设置文件权限为600。
• 防火墙设置：确保服务器80/443端口对外开放。
• 续期失败排查：检查Crontab日志或手动运行 certbot renew 查看错误信息。

引用说明
本文参考 Let’s Encrypt官方文档、Certbot用户指南。