免费域名 SSL 证书申请指南：Let's Encrypt 与 Cloudflare 详细步骤-BTECloud

时间：2025-08-27 浏览量：（48）

免费域名 SSL 证书申请指南：Let's Encrypt 与 Cloudflare 详细步骤

SSL 证书是网站实现 HTTPS 加密的核心，如今主流权威证书颁发机构（CA）均提供免费 SSL 证书服务，足以满足个人博客、中小企业官网等基础加密需求。其中，Let's Encrypt（专注免费证书自动签发）和Cloudflare（结合 DNS 与 SSL 的一站式服务）是最常用的两个选择，操作门槛低且安全性有保障。本文将分步骤拆解这两个平台的免费 SSL 证书申请流程，并补充证书维护的关键注意事项。

一、基础认知：免费 SSL 证书的适用场景与核心限制

在开始申请前，需明确免费 SSL 证书的 “能做什么” 与 “不能做什么”，避免后续使用中踩坑：

适用场景：个人博客、小型企业官网、非交易类静态网站等，核心需求是 “实现 HTTPS 加密、消除浏览器安全警告”；
核心优势：完全免费、申请流程简单、支持自动续期（部分工具）、由权威 CA 签发（浏览器默认信任）；
主要限制：

有效期短：Let's Encrypt 证书默认有效期 90 天，需定期续期（可通过工具自动续期）；
功能基础：仅支持 “域名验证（DV）”，不支持企业身份验证（OV）、增强型验证（EV）（付费证书才提供，可显示企业名称或绿色地址栏）；
单域名 / 通配符限制：部分免费服务仅支持单域名或少量子域名（如 Let's Encrypt 需额外配置才能支持通配符证书）。

二、方案 1：通过 Let's Encrypt 申请免费 SSL 证书（适合自主管理服务器）

Let's Encrypt 是由互联网安全研究小组（ISRG）运营的非盈利 CA，其免费 SSL 证书通过Certbot 工具实现 “自动申请、安装、续期”，适合拥有独立服务器（如 VPS、云服务器）且熟悉基础命令行操作的用户。

前提条件

已拥有域名（如example.com），且域名已解析到目标服务器 IP；
服务器已安装 Web 服务器（如 Nginx、Apache）；
服务器可正常访问外网（需与 Let's Encrypt 服务器通信完成域名验证）；
拥有服务器的 root 或 sudo 权限（需执行安装、配置命令）。

详细步骤：以 Linux 系统 + Nginx 为例

步骤 1：安装 Certbot 工具

Certbot 是 Let's Encrypt 官方推荐的客户端工具，支持自动完成 “证书申请 - 验证 - 安装” 全流程，不同操作系统与 Web 服务器的安装命令不同，以下为最常用的 “Linux+Nginx” 组合：

CentOS/RHEL 系统：

bash

# 安装EPEL仓库（Certbot依赖）sudo yum install epel-release -y# 安装Certbot及Nginx插件（插件用于自动配置Nginx）sudo yum install certbot python3-certbot-nginx -y

Ubuntu/Debian 系统：

bash

# 更新软件包列表sudo apt update -y# 安装Certbot及Nginx插件sudo apt install certbot python3-certbot-nginx -y

验证安装：执行 certbot --version，若显示版本号（如certbot 2.6.0），说明安装成功。

步骤 2：申请并自动配置 SSL 证书

Certbot 的--nginx插件会自动完成 “域名验证→证书申请→Nginx 配置修改”，无需手动操作，命令如下：

执行申请命令：

bash

sudo certbot --nginx -d example.com -d www.example.com

说明：-d example.com 表示要保护的主域名，-d www.example.com 表示同时保护带 www 前缀的子域名，可根据需求添加多个-d参数（如-d blog.example.com）；

完成域名验证：

Certbot 会自动通过 “HTTP-01 验证”（在服务器/var/www/html目录下生成临时文件，Let's Encrypt 服务器访问该文件确认域名归属），无需手动干预；
若验证失败，需检查：服务器 80 端口是否开放（HTTP-01 验证需 80 端口可访问）、域名解析是否正确（确保域名指向当前服务器 IP）；

确认 HTTPS 配置：

验证通过后，Certbot 会询问 “是否将 HTTP 流量重定向到 HTTPS”，建议输入2选择 “永久重定向（301）”，避免用户访问 HTTP 版本的网站；
完成后，Certbot 会自动修改 Nginx 配置文件（通常在/etc/nginx/conf.d/或/etc/nginx/sites-available/目录下），添加 SSL 证书路径、HTTPS 端口（443）等配置。

步骤 3：验证证书是否生效

重启 Nginx 服务：
bash
sudo systemctl restart nginx
浏览器访问验证：

打开浏览器，输入https://example.com，地址栏显示 “小锁图标”，点击图标查看 “证书信息”，确认 “颁发者” 为 “Let's Encrypt”、“有效期” 为 90 天内，说明证书已生效；

在线工具验证：

使用SSL Labs Server Test输入域名，若评级为 “A-” 及以上，说明证书配置正常。

步骤 4：配置证书自动续期（关键！避免过期）

Let's Encrypt 证书仅有效期 90 天，需配置自动续期，Certbot 已内置定时任务，可通过以下命令确认并测试：

查看自动续期任务：
bash
sudo crontab -l | grep certbot

正常会显示类似0 0,12 * * * root certbot renew --quiet的任务，表示每天 0 点、12 点自动检查证书，若剩余有效期不足 30 天则自动续期；

手动测试续期（可选）：
bash
sudo certbot renew --dry-run

若显示 “Congratulations, all simulated renewals succeeded.”，说明自动续期配置正常。

三、方案 2：通过 Cloudflare 申请免费 SSL 证书（适合无需服务器操作）

Cloudflare 是一家提供 “DNS 解析 + CDN+SSL” 的一站式云服务平台，其免费 SSL 证书无需在服务器上安装配置，只需将域名 DNS 解析指向 Cloudflare，即可通过 Cloudflare 边缘节点实现 HTTPS 加密，适合 “不懂服务器操作” 或 “使用虚拟主机（无服务器管理权限）” 的用户。

前提条件

已拥有域名（如example.com），且能修改域名的 DNS 解析服务器（需从原域名商处修改，如阿里云域名、腾讯云域名）；
注册 Cloudflare 账户（免费账户即可）。

详细步骤

步骤 1：注册并添加网站到 Cloudflare

访问Cloudflare 官网，使用邮箱注册免费账户；
登录后，点击页面上方 “Add a site”，输入要添加的域名（如example.com），点击 “Add site”；
选择套餐：默认显示 “Free” 免费套餐，点击 “Continue”（免费套餐已包含基础 SSL 证书、CDN 加速等功能）。

步骤 2：修改域名 DNS 解析服务器（核心步骤）

Cloudflare 需要接管域名的 DNS 解析，才能提供 SSL 服务，需按以下步骤修改：

自动扫描现有解析记录：

Cloudflare 会自动扫描域名当前的 DNS 解析记录（如 A 记录、CNAME 记录），确认记录无误后点击 “Continue”；
若扫描遗漏关键记录（如指向服务器 IP 的 A 记录），需手动点击 “Add record” 补充（类型选 “A”，名称填 “@” 或 “www”，内容填服务器 IP，代理状态选 “Proxied”）；

获取 Cloudflare DNS 服务器地址：

页面会显示 Cloudflare 提供的两个 DNS 服务器地址（如ella.ns.cloudflare.com、luke.ns.cloudflare.com），复制这两个地址；

在原域名商处修改 DNS：

登录域名注册商（如阿里云、腾讯云）的控制台，找到域名的 “DNS 解析设置”，将默认 DNS 服务器替换为 Cloudflare 提供的两个地址；
注意：DNS 服务器修改后，全球生效需要24-48 小时（实际通常 1-2 小时），期间域名可能暂时无法访问，属于正常现象。

步骤 3：启用并配置 Cloudflare 免费 SSL 证书

等待 DNS 生效：

返回 Cloudflare 控制台，点击左侧 “DNS”，若页面显示 “Status” 为 “Active”，说明 DNS 已生效；

启用 SSL 加密：

Full：Cloudflare 与用户之间用 SSL 加密，Cloudflare 与源服务器之间也用 SSL 加密（允许源服务器使用自签名证书）；
Full (strict)：Cloudflare 与源服务器之间需使用 “受信任 CA 签发的证书”（若源服务器无证书，可先申请 Let's Encrypt 证书，或使用 Cloudflare 的 “Origin CA 证书”）；
点击左侧 “SSL/TLS”→“Overview”，在 “SSL/TLS encryption mode” 下拉菜单中，选择 **“Full” 或 “Full (strict)”**（推荐 “Full (strict)”，安全性更高）：
选择后，Cloudflare 会自动为域名签发免费 SSL 证书（通常 1-5 分钟内完成），无需手动申请；

验证 SSL 生效：

DNS 生效且 SSL 配置完成后，浏览器访问https://example.com，地址栏显示 “小锁图标”，点击查看证书，颁发者为 “Cloudflare, Inc.”，说明证书已生效。

步骤 4：补充优化（可选）

配置 HTTP 强制跳转 HTTPS：点击左侧 “SSL/TLS”→“Edge Certificates”，开启 “Always Use HTTPS”，强制将所有 HTTP 访问重定向到 HTTPS；
启用 HSTS：在 “Edge Certificates” 中找到 “HTTP Strict Transport Security (HSTS)”，点击 “Enable HSTS”，强制浏览器仅通过 HTTPS 访问网站，进一步提升安全性。

四、免费 SSL 证书维护的 2 个关键注意事项

无论选择 Let's Encrypt 还是 Cloudflare，证书的 “持续有效性” 是核心，需关注以下两点：

1. 定期检查证书有效期，确保自动续期正常

Let's Encrypt：虽然配置了自动续期，但建议每月通过certbot certificates命令查看证书状态，确认 “Expiry Date” 是否正常（如显示 “Valid until Sep 15 08:00:00 2024 GMT”）；
Cloudflare：免费 SSL 证书有效期为 15 个月，Cloudflare 会自动续期，无需手动操作，但可在 “SSL/TLS”→“Edge Certificates” 中查看证书到期时间。

2. 按需升级付费证书（若有高级需求）

若网站涉及电商交易、用户登录、敏感数据传输，且需要 “企业身份验证” 或 “增强信任标识”，可考虑升级付费 SSL 证书（如 DigiCert、GlobalSign 的 OV/EV 证书），付费证书的优势包括：

有效期更长（1-2 年）；
支持企业身份验证（OV 证书），证书信息中显示企业名称；
增强型验证（EV 证书），浏览器地址栏显示绿色，提升用户信任度；
提供更高额度的安全保障（如百万美元级别的赔付保障）。

总结：如何选择适合自己的免费 SSL 方案？

选Let's Encrypt：若你拥有独立服务器（VPS / 云服务器），且熟悉基础命令行操作，希望 “自主管理证书”，适合选择 Let's Encrypt（配合 Certbot 自动续期，几乎无需后续维护）；
选Cloudflare：若你使用虚拟主机（无服务器管理权限），或不懂技术操作，希望 “一站式解决 DNS+CDN+SSL”，适合选择 Cloudflare（无需服务器配置，全程可视化操作）。

两种方案均能实现 “免费 HTTPS 加密”，满足基础安全需求。核心是申请后确认证书生效，并做好续期监测，避免证书过期导致网站出现 “安全警告”。

行业资讯