文章从以下几个部分展开

• SSL证书的用途和使用场景
• SSL证书的申请类型和实现方式
• SSL证书的管理
• SSL证书的续签

一、SSL 证书的用途和使用场景

1.1 为什么要使用 SSL 证书？

1.	数据安全 🛡️- 在 HTTP 传输中，TCP 包可以被截获，攻击者可以直接获取数据内容（比如用户名、密码、API Key）。- HTTPS 通过 SSL/TLS 加密通信，即使数据被拦截也无法解密，有效防止中间人攻击（MITM）。2.	用户体验与信任 👀- 现代浏览器会对HTTP 站点标红，用户会看到“不安全”的提示，影响信任感。- HTTPS 站点 会在地址栏显示 小绿锁 🔒，提升安全感和专业度。3.	合规性与政策要求 📜- 某些服务强制要求 HTTPS（如：Google 强制要求 HTTPS，HTTP 网站会影响 SEO 排名）。- PCI DSS（支付卡行业数据安全标准）等要求敏感数据必须加密传输。

1.2 SSL 证书的主要使用场景

1.	对外提供 Web / WebSocket 服务 🌐常见场景：- Web 服务器（Nginx、Apache、Tomcat）- WebSocket 服务器（用于即时通讯、在线协作）2.	API 保护 & 认证 🔑- API Server（Restful API / GraphQL / gRPC）- 需要确保API Key、JWT Token 传输安全，防止泄露3.	企业内部服务 & 远程办公 🏢- 内部管理系统（如 Jenkins、GitLab、Kubernetes Dashboard）- VPN / 远程桌面 也需要证书加密，防止流量被窃取

1.3 证书申请方式及适用场景

方式	适用场景	优点	缺点
AWS ACM 证书	AWS 负载均衡、CloudFron	自动续期、免费	仅限 AWS 内部使用
Cloudflare SSL	域名托管在 Cloudflare	免费、隐藏源站	不能直接访问源站
购买商业 SSL	企业、银行、电商	可信度高	费用高，需要手动续期
自签名 SSL	内部测试、私有 API	免费、灵活	浏览器不信任，不适合公网
Cloudflare Tunnel	服务器无公网 IP	免证书、隐藏源站	依赖 Cloudflare，只适用于小型企业
公网免费证书	公司内部访问、个人网站	有自己的域名即可	3个月到期需要考虑续期，可以通过api自动续期

二、证书的管理

上一篇的1.3中已经列出了证书的申请方式，我接下来演示公网免费证书的申请
切记每一种方式都有适用场景，用什么完全取决于业务需求
由于是在route53下创建需要用到aws凭据和IAM用户 key

2.1、IAM权限

{"Version": "2012-10-17","Statement": [{"Sid": "Route53DNSValidation","Effect": "Allow","Action": ["route53:GetChange","route53:ChangeResourceRecordSets","route53:ListResourceRecordSets"],"Resource": ["arn:aws:route53:::hostedzone/*","arn:aws:route53:::change/*"]},{"Sid": "Route53ListHostedZones","Effect": "Allow","Action": ["route53:ListHostedZones","route53:ListHostedZonesByName"],"Resource": "*"}]
}

2.2、配置aws凭据

创建用户后生成API Key

mkdir ~/.aws
echo "[default]
aws_access_key_id = YOUR_ACCESS_KEY
aws_secret_access_key = YOUR_SECRET_KEY" > ~/.aws/credentials
chmod 600 ~/.aws/credentials

2.3、安装certbot

这里安装的route53插件，通过我们上面的凭据去调用route53 API

apt update
apt install certbot python3-certbot-dns-route53

2.4、执行证书申请操作

通过route53 API完成DNS验证

DOMAIN="domain.com"
EMAIL="jarvan@domain.com"certbot certonly \--dns-route53 \--dns-route53-propagation-seconds 30 \-d "$DOMAIN" \-d "*.$DOMAIN" \--email "$EMAIL" \--agree-tos \--non-interactive \--server https://acme-v02.api.letsencrypt.org/directory

创建后我我并未发现有验证的那条dns记录，最终总结出了Let’s Encrypt 验证dns的流程

• Certbot 创建一个 _acme-challenge.csconsulting.live 的 TXT 记录
• Let’s Encrypt 服务器验证这个记录
• 验证成功后，Certbot 自动删除这个 TXT 记录
• 最后颁发证书

创建完成后会提示证书的路径和证书到期时间，并且还会说明证书会自动续期，因为我们是通过api方式请求的
提示信息如下

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for csconsulting.live and *.csconsulting.live
Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/csconsulting.live/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/csconsulting.live/privkey.pem
This certificate expires on 2025-05-13.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:* Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate* Donating to EFF:                    https://eff.org/donate-le

2.5、证书的续订

证书在到期一个月时可以进行续订
续订后需要重nginx，因为

• 证书更新后，Certbot 会在 /etc/letsencrypt/live/你的域名/ 下生成新的证书文件
• Nginx 不会自动检测到证书文件的更新
• Nginx 在启动时会将证书加载到内存中，如果不重启/重载，它会继续使用旧的证书

即使是购买的公网证书也需要重新上传证书后重启服务

查看证书状态

$ certbot certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:Certificate Name: csconsulting.liveSerial Number: 3244e0c60c7f5cb1507b417a7d18c281e29Key Type: RSADomains: csconsulting.live *.csconsulting.liveExpiry Date: 2025-05-15 02:11:36+00:00 (VALID: 89 days)Certificate Path: /etc/letsencrypt/live/csconsulting.live/fullchain.pemPrivate Key Path: /etc/letsencrypt/live/csconsulting.live/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

测试续期

$ certbot renew --dry-run 
Saving debug log to /var/log/letsencrypt/letsencrypt.log- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/csconsulting.live.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Simulating renewal of an existing certificate for csconsulting.live and *.csconsulting.live- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all simulated renewals succeeded: /etc/letsencrypt/live/csconsulting.live/fullchain.pem (success)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

cerbot.timer是定时器单元，下面还有定时器服务

$ systemctl status certbot.timer
● certbot.timer - Run certbot twice dailyLoaded: loaded (/lib/systemd/system/certbot.timer; enabled; vendor preset: enabled)Active: active (waiting) since Wed 2025-02-12 10:32:06 CST; 2 days agoTrigger: Fri 2025-02-14 16:33:53 CST; 5h 3min leftTriggers: ● certbot.serviceFeb 12 10:32:06 ip-10-240-20-253 systemd[1]: Started Run certbot twice daily.

查看定时器状

$ systemctl cat certbot.timer
# /lib/systemd/system/certbot.timer
[Unit]
Description=Run certbot twice daily[Timer]
OnCalendar=*-*-* 00,12:00:00
RandomizedDelaySec=43200
Persistent=true[Install]
WantedBy=timers.target$ systemctl cat certbot.service
# /lib/systemd/system/certbot.service
[Unit]
Description=Certbot
Documentation=file:///usr/share/doc/python-certbot-doc/html/index.html
Documentation=https://certbot.eff.org/docs
[Service]
Type=oneshot
ExecStart=/usr/bin/certbot -q renew
PrivateTmp=true

解释配置

[Timer]
OnCalendar=*-*-* 00,12:00:00     # 每天在 00:00 和 12:00 运行
RandomizedDelaySec=43200         # 随机延迟最多12小时(43200秒)
Persistent=true                  # 如果错过运行时间(比如系统关机)，下次启动会补充运行

[Service]
Type=oneshot                     # 运行一次就结束的服务
ExecStart=/usr/bin/certbot -q renew  # 实际执行的命令，-q表示安静模式
PrivateTmp=true                 # 使用私有临时目录，增加安全性