news 2026/6/23 23:05:39

借助 Let‘s Encrypt 节省 SSL 证书费用

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
借助 Let‘s Encrypt 节省 SSL 证书费用

向服务商购买一张常见的 DV 通配符 SSL 证书,通常每年价格在数百至一千多元人民币不等;若名下有多个域名需要使用证书,总费用每年可能达到数千元。

在当前强调降本增效的环境下,若评估后认为免费证书能够满足需求,小公司和个人网站即可节省相应成本。

Let's Encrypt 简介

Let's Encrypt 是一家免费、开放、自动化的公益性证书颁发机构(CA),由互联网安全研究组(ISRG)运作,属于非营利组织。其目标是推广 HTTPS 的应用,为构建更安全、尊重隐私的互联网提供免费而便捷的支持。

操作方法

根据不同使用环境,Let's Encrypt 提供多种验证与获取证书的方式。常用工具是 Certbot,详见文档:https://eff-certbot.readthedocs.io/en/stable/。

在部分环境中,可配置工具定期自动续期,减少维护工作。

由于服务器环境较为老旧,且需要将证书上传至阿里云并部署到多个云服务,本文暂采用“本地生成证书—手动上传与更新”的方式。

0x01 在本地生成证书

本文使用 Docker 运行 Certbot,参见文档:https://eff-certbot.readthedocs.io/en/stable/install.html#alternative-1-docker。

生成通配符证书的示例命令如下:

docker run -it --rm --name certbot \ -v '/Users/mazhuang/some/path/letsencrypt:/etc/letsencrypt' \ certbot/certbot certonly \ --preferred-challenges dns \ --manual \ --server https://acme-v02.api.letsencrypt.org/directory \ --key-type rsa --rsa-key-size 2048
  • --preferred-challenges dns

    使用 DNS 方式进行域名验证;

  • --manual

    以交互式方式进行询问与操作;

  • --key-type rsa --rsa-key-size 2048

    生成 2048 位 RSA 私钥(部分阿里云服务不支持默认的 ECC 证书)。

执行后会依次询问邮箱、协议授权、域名等信息,随后提示添加 DNS TXT 记录以完成域名所有权验证,按提示操作即可。

生成成功后,证书与私钥保存在挂载的本地目录中,例如上述命令中的/Users/mazhuang/some/path/letsencrypt/archive/{domain name}。各文件的说明可参考:https://eff-certbot.readthedocs.io/en/stable/using.html#where-certs。

0x02 上传和部署证书

将证书上传到阿里云的数字证书管理服务。可使用其一键部署功能(付费),或在各云服务中手动选择使用该证书(免费),按需取用。

0x03 定期更新证书

Let's Encrypt 颁发的证书有效期为 90 天,建议在到期前 30 天内更新。可重复步骤 0x01 生成新证书,然后上传并部署。

注意事项

部分极为老旧的平台有可能不支持 Let's Encrypt 颁发的证书,建议评估后再决定是否使用,具体的兼容情况可以参考:https://letsencrypt.org/zh-cn/docs/certificate-compatibility/ 。

比如我这边就遇到了因为使用的是 JDK 8 的低于 141 的版本,部署完证书后,发现 xxl-job 定时任务执行器没有注册上,报错sun.security.validator.ValidatorException: PKIX path building failed

解决方法:

  1. 下载 ISRG Root X1 证书

    在这里可以找到: https://letsencrypt.org/certificates/

    cd /optget https://letsencrypt.org/certs/isrgrootx1.pem

  2. 导入证书到 JDK 的 cacerts 中

    keytool -trustcacerts -keystore "/opt/jdk/jre/lib/security/cacerts" -storepass changeit -noprompt -importcert -alias lets-encrypt-x1 -file "/opt/isrgrootx1.pem"

  3. 重启服务

小结

以上步骤简单、成本为零。对小公司和个人网站而言,是节省 SSL 证书费用的可行方案。

若环境允许,建议配置自动化续期,进一步降低维护成本,按需采用。

参考链接

  • https://letsencrypt.org/zh-cn/

  • https://eff-certbot.readthedocs.io/en/stable/

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/6/23 18:31:28

当SOLIDWORKS Simulation到达极限,你需使用Abaqus的5个明确信号!

SOLIDWORKS Simulation是一款功能强大、与设计紧密集成的有限元分析(FEA)工具,它能出色地解决工程师日常遇到的大部分线性静态问题,是设计验证的得力助手。然而,当您的产品和遇到的物理世界变得越来越复杂时,您可能会发现&#xf…

作者头像 李华
网站建设 2026/6/19 21:34:00

从卡顿到飞起!5步提升SOLIDWORKS复杂装配体性能

专业SOLIDWORKS代理商分享,从硬件到软件设置,全面提升您的设计流畅度。当您的SOLIDWORKS装配体零件数量从几十个增长到几百上千个时,您是否发现,原本流畅的操作开始变得迟缓、卡顿,甚至频繁崩溃?打开、旋转…

作者头像 李华
网站建设 2026/6/8 20:24:53

当 altool 退出历史舞台,iOS 上传链路的演变与替代方案的工程实践

在过去相当长的一段时间里,altool 是 iOS 工程师上传 IPA、验证签名、处理 App Store 发布流程的关键工具。它以命令行方式运行,适合脚本化与 CI 集成,是许多自动化发布体系的底层组件。然而,自苹果逐步淘汰 Application Loader&a…

作者头像 李华
网站建设 2026/6/22 16:48:52

Wan2.2-T2V-5B能否生成金融财经类数据可视化视频?

Wan2.2-T2V-5B能否生成金融财经类数据可视化视频? 你有没有遇到过这种情况:凌晨三点,美股刚收盘,团队急着出一条短视频解读苹果财报后的股价异动——可设计师还在睡觉,PPT动画做不出来,剪辑软件卡成幻灯片……

作者头像 李华
网站建设 2026/6/22 11:22:49

【详解】Dubbo监控中心的介绍

目录 Dubbo监控中心的介绍 概述 Dubbo监控中心的功能 1. 实时监控 2. 历史数据查询 3. 调用链路追踪 4. 健康检查 5. 配置管理 Dubbo监控中心的架构 1. 数据采集 2. 数据存储 3. 数据分析 4. 数据展示 如何使用Dubbo监控中心 1. 配置监控中心 2. 启动监控中心 …

作者头像 李华
网站建设 2026/6/23 11:35:08

软件测试de

断言:可以用通义灵码自动生成测试类package com.itheima;import org.junit.jupiter.api.*; import org.junit.jupiter.params.ParameterizedTest; import org.junit.jupiter.params.provider.ValueSource; DisplayName("用户信息测试类") public class Us…

作者头像 李华