手把手教你：在ECS云服务器上免费申请SSL证书并实现自动续期

嘿，朋友！如果你正在用阿里云的ECS服务器搭建网站，那你肯定知道现在没有HTTPS简直寸步难行。浏览器动不动就给你标个“不安全”，用户一看就跑了，多亏啊！给你的网站装个SSL证书是必须的。好消息是——现在完全可以免费搞定，而且还能让它自己续期，根本不用你操心。

今天这篇文章，我就带你一步步实现在ECS上申请免费SSL证书，并配置自动续期。整个过程不花一分钱（除了服务器本身），也不需要啥高深技术，小白也能照着做成功。准备好了吗？咱们开始！

为什么一定要用SSL证书？

先说清楚为啥非得搞这个事。以前可能你觉得HTTP也挺好的，打开网页也没问题。但现在的趋势是——所有主流浏览器都对“非HTTPS”网站特别不友好。比如Chrome、Edge，看到你网站没加密，直接在地址栏写个“不安全”，用户点进去心里就打鼓：“这网站靠不靠谱？”

搜索引擎（比如百度、Google）也更喜欢带HTTPS的网站，排名会更高。还有，像微信公众号、小程序这些平台，链接必须是HTTPS的，否则压根不让接入。所以说，SSL不是“可有可无”，而是“刚需”。

别担心价格，以前买SSL证书确实贵，几百上千一年。但现在不一样了，Let’s Encrypt 这个组织提供免费的SSL证书，有效期90天，够用，还能自动续！我们接下来就要用它来武装你的ECS服务器。

准备工作：你需要有什么？

在动手之前，确认一下你手头有没有这几样东西：

• 一台阿里云ECS服务器：系统建议选 CentOS 或 Ubuntu，本文以 CentOS 7 为例，其他系统大同小异。
• 一个已备案的域名：必须能解析到你的ECS公网IP，不然证书申请不了。
• SSH工具：比如 Xshell、PuTTY 或 Mac 上的 Terminal，用来连接服务器。
• 域名解析权限：能登录你的域名管理后台，比如阿里云DNS、腾讯云DNS等。

如果你还没买ECS，或者想换个配置更划算的，我建议你现在就去领个阿里云优惠券，新用户和老用户都有机会省钱，买服务器、域名、CDN都能用，省下的都是纯利润！

第一步：登录ECS，安装必要的工具

打开你的SSH工具，输入ECS的公网IP、用户名（一般是 root）和密码，连上去。

连接成功后，先更新系统软件包，避免出问题：

yum update -y

然后我们需要安装一个叫 certbot 的工具，它是 Let’s Encrypt 官方推荐的客户端，专门用来申请和管理证书。

在 CentOS 上，先安装 EPEL 源：

yum install epel-release -y

接着安装 certbot：

yum install certbot python3-certbot-nginx -y

注意：如果你用的是 Nginx 作为Web服务器，就装上面这个。如果是 Apache，换成 python3-certbot-apache 就行。

第二步：配置域名解析，确保能访问

假设你的域名是 example.com，现在去你的域名控制台，添加两条A记录：

• example.com → 指向你的ECS公网IP
• www.example.com → 同样指向ECS公网IP

等几分钟让解析生效。你可以用 ping example.com 看看能不能通，或者直接在浏览器里输入网址，看看能不能打开你的网站页面（哪怕是个默认页也行）。

这一步很关键！如果域名解析没搞好，后面申请证书一定会失败。

第三步：申请免费SSL证书

现在正式申请证书。我们用的是 DNS-01 验证方式，这种方式最稳定，尤其适合Nginx/Apache已经跑起来的情况。

运行下面这条命令（记得替换你的邮箱和域名）：

certbot certonly --manual --preferred-challenges dns --email your-email@example.com --agree-tos -d example.com -d .example.com

解释一下参数：

• --manual：手动模式，适合我们这种需要精细控制的场景。
• --preferred-challenges dns：通过DNS验证域名所有权。
• --email：填你的邮箱，用于接收到期提醒和安全通知。
• -d：指定你要保护的域名，这里申请了主域和泛域名证书。

执行后，Certbot 会提示你去添加一条 TXT 记录。它会给你一个名字和一段值，比如：

Please deploy a DNS record under the name:
_acme-challenge.example.com
with the following value:
abc123xyz456def789...

赶紧去你的DNS管理后台，添加一条TXT记录，主机记录填 _acme-challenge，记录值就是它给的那段字符串。

等一两分钟，回到终端按回车，Certbot 会自动检测。如果成功，就会提示证书生成成功，并告诉你证书存放在哪里：

Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem

太棒了！你现在已经有了一张免费的SSL证书，支持 HTTPS 和泛域名，有效期90天。

第四步：配置Nginx启用HTTPS

接下来让Nginx用上这个证书。打开你的站点配置文件，一般在 /etc/nginx/conf.d/your-site.conf 或 /etc/nginx/sites-available/default。

找到你的 server 块，改成这样：

server {
    listen 443 ssl;
    server_name example.com www.example.com;
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    # 其他配置，比如root、index、location等
    root /usr/share/nginx/html;
    index index.html;
}

保存后，先测试配置是否正确：

nginx -t

如果显示 “syntax is ok”，那就没问题。重启Nginx：

systemctl reload nginx

现在打开浏览器，输入 https://example.com，应该就能看到小绿锁了！恭喜你，网站已经安全上线！

第五步：设置自动续期，一劳永逸

证书只有90天有效期，但我们不想每次都手动操作。好在 Linux 有个神器叫 cron，可以定时执行任务。

Let’s Encrypt 建议每周自动检查一次续期。我们来设置一个 cron 任务：

运行：

crontab -e

在打开的编辑器里添加这一行：

0 3   1 /usr/bin/certbot renew --quiet && systemctl reload nginx

意思是：每周一凌晨3点，尝试续期所有即将过期的证书，如果成功，就重载Nginx使新证书生效。

保存退出。从此以后，你就完全不用管证书到期的事了，系统会自动帮你搞定。

常见问题和注意事项

1. 续期失败怎么办？

偶尔网络抖动或DNS延迟可能导致续期失败。不过因为cron每周执行一次，只要有一次成功就行。你可以手动运行 certbot renew --dry-run 测试流程是否正常。

2. 能不能用在多个域名上？

当然可以！你在申请时用 -d domain1.com -d domain2.com 就行，或者为每个域名单独申请。每个证书最多支持100个域名。

3. 服务器重装后证书还在吗？

不在！证书存在 /etc/letsencrypt 目录下，重装系统就没了。建议你把证书目录备份出来，或者记住申请流程，随时能重新申请。

4. 泛域名证书安全吗？

安全。只要你保管好私钥（privkey.pem），不泄露，就没问题。不要把证书文件放在网站根目录下被人下载。

免费+自动=省心又省钱

看到这里，你应该已经成功给自己的ECS服务器加上了免费SSL证书，并且配置了自动续期。整个过程不需要花钱，只需要一点点耐心和动手能力。

核心步骤就四步：装Certbot → 配DNS → 申请证书 → 配Nginx → 加自动任务。每一步都不难，跟着做一遍就能掌握。

现在你的网站不仅更安全，用户体验更好，SEO排名也可能提升。最重要的是，你省下了每年几百块的证书费用，这笔钱留着升级服务器不香吗？

对了，如果你正打算买新的云资源，比如轻量应用服务器、对象存储OSS，或者想给现有服务扩容，别忘了先去领个阿里云优惠券，能省一点是一点，反正白捡的便宜嘛！

希望这篇文章真真正正帮到了你。如果操作中遇到问题，欢迎留言交流。技术这东西，不怕不会，就怕不敢动手。只要你敢试，99%的问题都能解决。