如何启用 HTTPS 并配置免费的 SSL 证书

在 Linux 服务器上启用 HTTPS 并配置免费的 SSL 证书（以 Let's Encrypt 为例）可以通过以下步骤完成：

---

### **一、准备工作**

1. **确保域名已解析**

- 你的域名（如 `example.com`）必须正确解析到服务器的公网 IP。

- 验证方法：`ping example.com` 或 `nslookup example.com`。

2. **安装 Web 服务器**

- 确保已安装 Nginx/Apache 并正常运行（以下以 Nginx 为例）：

```bash

sudo apt update && sudo apt install nginx # Debian/Ubuntu

sudo dnf install nginx # Fedora/RHEL

sudo systemctl start nginx

```

3. **开放防火墙端口**

- 允许 HTTPS（443）和 HTTP（80）流量：

```bash

sudo ufw allow 80/tcp

sudo ufw allow 443/tcp

sudo ufw reload

```

---

### **二、安装 Certbot（Let's Encrypt 客户端）**

Certbot 是 Let's Encrypt 的官方工具，支持自动获取和续签证书。

1. **安装 Certbot**

```bash

# Debian/Ubuntu

sudo apt update

sudo apt install certbot python3-certbot-nginx

# Fedora/RHEL

sudo dnf install certbot python3-certbot-nginx

# CentOS 7 (需先启用 EPEL)

sudo yum install epel-release

sudo yum install certbot python2-certbot-nginx

```

2. **获取 SSL 证书（自动配置 Nginx）**

```bash

sudo certbot --nginx -d example.com -d www.example.com

```

- 按提示输入邮箱（用于紧急通知）。

- 同意服务条款后，Certbot 会自动修改 Nginx 配置并启用 HTTPS。

3. **验证证书是否生效**

- 访问 `https://example.com`，确认浏览器显示 安全标识。

- 检查证书信息：

```bash

sudo certbot certificates

```

---

### **三、手动配置 Nginx（可选）**

如果 Certbot 未自动配置，可手动修改 Nginx 配置（`
/etc/nginx/sites-available/example.com`）：

```nginx

server {

listen 80;

server_name example.com www.example.com;

return 301 https://$host$request_uri; # 强制跳转 HTTPS

}

server {

listen 443 ssl;

server_name example.com www.example.com;

ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

# 强化安全配置

ssl_protocols TLSv1.2 TLSv1.3;

ssl_ciphers 'TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES128-GCM-SHA256';

ssl_prefer_server_ciphers on;

ssl_session_cache shared:SSL:10m;

# 其他配置（如根目录、代理等）

root /var/www/html;

index index.html;

}

```

- 测试并重载 Nginx：

```bash

sudo nginx -t # 测试配置

sudo systemctl reload nginx

```

---

### **四、自动续签证书**

Let's Encrypt 证书有效期为 90 天，需定期续签。

1. **测试续签命令**

```bash

sudo certbot renew --dry-run

```

2. **设置定时任务**（每月自动续签）

```bash

sudo crontab -e

```

添加以下行：

```cron

0 3 * * * /usr/bin/certbot renew --quiet --post-hook "systemctl reload nginx"

```

- 每天凌晨 3 点检查续签，仅当证书快到期时才会实际续签。

---

### **五、其他免费 SSL 证书方案**

1. **Cloudflare**

- 适用于使用 Cloudflare CDN 的站点，提供灵活的自签名证书（无需服务器安装）。

2. **ZeroSSL**

- 提供网页端或 API 签发免费证书（支持 90 天）。

---

### **常见问题**

1. **证书申请失败**

- 检查域名解析是否正确、服务器 80/443 端口是否开放。

- 确保没有防火墙或安全组拦截 Let's Encrypt 的验证请求（HTTP-01 挑战）。

2. **混合内容警告**

- 确保网页内所有资源（图片、JS/CSS）使用 `https://` 链接。

3. **多域名/通配符证书**

- Let's Encrypt 支持通配符证书（需 DNS 验证）：

```bash

sudo certbot certonly --manual --preferred-challenges=dns -d *.example.com

```

---

通过以上步骤，你可以快速为网站启用 HTTPS，提升安全性和 SEO 排名。Let's Encrypt 的自动化工具大幅降低了 SSL 证书的管理成本。