搭建网站白嫖SSL证书的3个方法

2025-07-24 - kblog

免费获取SSL证书,主要可通过权威CA机构免费证书云服务商免费证书自签名证书三类方式实现,以下是具体方法及注意事项(结合2025年最新政策):

一、权威CA机构免费证书:Let's Encrypt(全球首选)​

Let's Encrypt是全球最大的免费SSL证书颁发机构,由Mozilla、思科等组织支持,证书兼容所有现代浏览器,​2025年有重大更新​:

  • 有效期调整​:2025年底前推出六天短期证书​(替代现有90天长期证书),缩短私钥泄露风险窗口,需依赖自动化续期(如Certbot工具)。
  • IP地址支持​:六天证书将支持IP地址作为主题备用名称(SAN)​,适用于物联网设备、内部IP服务等场景(验证方式为HTTP-01或TLS-ALPN-01,DNS-01不适用)。
  • 终止邮件通知​:2025年6月4日起不再发送证书到期邮件,需通过自动化工具​(如Certbot、Acme.sh)管理续期。

申请步骤​(以Certbot为例):

  1. 安装Certbot(支持Linux、Windows等系统);
  2. 运行命令certbot certonly --standalone -d yourdomain.com(替换为你的域名);
  3. 完成域名验证(HTTP-01:在服务器放置指定文件;DNS-01:添加DNS记录);
  4. 证书自动安装至服务器(路径:/etc/letsencrypt/live/yourdomain.com/)。

注意​:Let's Encrypt证书不支持泛域名(如*.example.com)​,需单独申请每个子域名。

二、云服务商免费证书:阿里云、腾讯云等

国内云服务商(如阿里云、腾讯云)提供免费DV型SSL证书​(域名验证型),适合个人/小型网站,有效期通常为3个月​(需定期续期)。

1. 阿里云免费证书

  • 申请流程​:
    ① 登录阿里云控制台,搜索“SSL证书”;
    ② 选择“免费证书”(如TrustAsia品牌),填写域名(如example.com);
    ③ 完成域名验证(自动DNS验证:若域名托管在阿里云DNS,可自动添加记录;手动DNS验证:需在域名服务商处添加TXT记录;文件验证:在服务器放置指定文件);
    ④ 验证通过后,CA机构24小时内签发证书,下载后部署至服务器。

  • 限制​:同一主域名(如example.com)最多申请20张免费证书​(亚洲诚信范围内),不支持IP与泛域名。

2. 腾讯云免费证书

  • 申请流程​:
    ① 登录腾讯云控制台,进入“SSL证书”管理页面;
    ② 点击“申请免费证书”,填写域名(如example.com);
    ③ 完成域名验证(自动DNS验证:若域名托管在腾讯云DNS,可自动添加记录;手动DNS验证:需在域名服务商处添加TXT记录;文件验证:在服务器放置指定文件);
    ④ 验证通过后,CA机构24小时内签发证书,下载后部署至服务器。

  • 限制​:同一主域名最多申请20张免费证书​(亚洲诚信范围内),不支持IP与泛域名。

三、自签名证书:适用于测试环境

自签名证书由本地生成,​不被浏览器信任​(会提示“不安全”),仅适用于开发/测试环境​(如本地网站、内部系统)。

1. 使用OpenSSL生成(跨平台)​

  • 步骤​:
    ① 生成私钥:openssl genpkey -algorithm RSA -out private_key.key -pkeyopt rsa_keygen_bits:2048(2048位RSA密钥);
    ② 生成自签名证书:openssl req -new -x509 -key private_key.key -out self_signed.crt -days 365(有效期365天,需填写域名、组织等信息);
    ③ 验证证书:openssl x509 -in self_signed.crt -text -noout(查看证书详情)。

2. 使用PowerShell生成(Windows)​

  • 步骤​:
    ① 以管理员身份打开PowerShell;
    ② 运行命令:New-SelfSignedCertificate -DnsName "example.com" -CertStoreLocation "cert:\LocalMachine\My"(生成自签名证书并存储至本地计算机证书库);
    ③ 从证书库中导出证书(.cer或.pfx格式),部署至服务器。

注意事项

  1. 证书续期​:Let's Encrypt、云服务商免费证书均需定期续期(Let's Encrypt推荐自动化工具;云服务商可在控制台手动续期);
  2. 域名验证​:需确保域名所有权(如添加DNS记录、放置验证文件),否则无法签发证书;
  3. 生产环境建议​:优先选择Let's Encrypt或云服务商证书(浏览器信任),避免自签名证书导致用户警告;
  4. IP地址支持​:若需为IP地址申请证书,可等待Let's Encrypt 2025年底推出的六天短期证书(目前仅支持域名)。

以上方法覆盖了生产环境​(Let's Encrypt、云服务商)和测试环境​(自签名)的需求,可根据实际情况选择。

- END -

49

微服务中消息总线架构设计应用1

微服务中消息总线架构设计应用1

当一个O2O电商系统到达一定规模之后,就需要考虑系统的可扩展性、松耦合和组件化。一般采用的都是基于时下比较流行SpringCloud和Dubbo的分布式的微服务的架构模式,虽然模块间能够独立部署了,但是模块间的还是强依赖关系,每次改动都需要重新发版上线,产品迭代速度又快,使用分布式的消息总线设计就可以解决这些问题。

网站SSL证书无限续杯

无限续签SSL方案推荐JoySSL(通配符免费+自动续签)与Caddy自动TLS,Certd/AllinSSL支持多CA手动更新。