Certbot SSL 证书管理 & DNS验证 🔐

🌐 自动化 SSL 证书管理，为你的网站提供免费 HTTPS 加密

---

目录

• 🔗 Certbot 简介
• 📦 安装与配置
• 🔐 DNS 验证申请
• 🔄 证书管理
• ⏰ 自动续签
• 🔧 故障排除
• 💡 最佳实践

---

🔗 Certbot 简介

🌟 什么是 Certbot？

Certbot 是由 Electronic Frontier Foundation (EFF) 开发的开源工具，用于自动化管理和部署 SSL/TLS 证书。与 Let’s Encrypt 合作，提供免费的 SSL 证书服务。

🔗 重要链接

• 🌐 官网: https://certbot.eff.org/
• 📚 文档: https://eff-certbot.readthedocs.io/
• 🇨🇳 中文官网: https://certbot.openssl.ac.cn/
• 💻 GitHub: https://github.com/certbot/certbot

🎯 主要特性

• ✅ 免费 SSL 证书
• ✅ 自动续签
• ✅ 多域名支持
• ✅ 通配符证书
• ✅ 多种验证方式（HTTP、DNS、TLS-SNI）
• ✅ 支持多种Web服务器（Nginx、Apache等）
• ✅ 跨平台支持（Linux、Windows、macOS）

---

📦 安装与配置

🐧 系统安装命令

Debian/Ubuntu

sudo apt update && sudo apt install -y certbot python3-certbot-nginx

🔴 CentOS/RHEL

sudo yum update && sudo yum install -y certbot python3-certbot-nginx

🏔️ Alpine Linux

sudo apk update && sudo apk add certbot

🐧 Fedora

sudo dnf update && sudo dnf install -y certbot python3-certbot-nginx

🔍 验证安装

# 查看版本
certbot --version

# 查看帮助
certbot --help

# 检查插件
certbot plugins

📁 目录结构

/etc/letsencrypt/
├── live/           # 当前证书符号链接
├── archive/        # 历史证书存档
├── renewal/        # 续订配置
└── keys/           # 私钥文件

---

🔐 DNS 验证申请

🎯 DNS 验证的优势

• 🌍 支持通配符证书 (*.example.com)
• 🔧 无需开放服务器端口
• 🚀 适合国内网络环境
• 🔒 更安全，不需要暴露服务器到公网
• ⚡ 验证过程更快，无需等待HTTP请求

📝 申请通配符证书

# 申请通配符证书
sudo certbot certonly --manual --preferred-challenges dns \
  -d "mobufan.eu.org" \
  -d "*.mobufan.eu.org" \
  --register-unsafely-without-email \
  --agree-tos

🔧 DNS 记录配置步骤

1. 获取 TXT 记录信息

   # 执行命令后 Certbot 会显示：
   # Please deploy a DNS TXT record under the name:
   # _acme-challenge.mobufan.eu.org
   # with the following value:
   # psR23wa2k5tVJws7gUhfwpVI5MclBOfvOaOmKyn51w8

2. 添加 DNS 记录

   • 登录域名控制面板
   • 添加 TXT 记录：
     • 名称: _acme-challenge
     • 值: psR23wa2k5tVJws7gUhfwpVI5MclBOfvOaOmKyn51w8
     • TTL: 300 (5分钟)

3. 等待 DNS 传播

   # 验证 DNS 记录
   dig TXT _acme-challenge.mobufan.eu.org
   nslookup -type=TXT _acme-challenge.mobufan.eu.org

4. 完成验证

   • 等待 2-5 分钟让 DNS 生效
   • 返回终端按回车继续

📊 证书文件位置

# 证书文件路径
/etc/letsencrypt/live/mobufan.eu.org/
├── fullchain.pem    # 完整证书链
├── privkey.pem      # 私钥文件
├── cert.pem         # 证书文件
└── chain.pem        # 中间证书

🔄 同步到 Nginx

# 创建 SSL 目录
sudo mkdir -p /etc/nginx/ssl

# 同步证书到 Nginx
sudo cp /etc/letsencrypt/live/mobufan.eu.org/fullchain.pem /etc/nginx/ssl/cert.pem
sudo cp /etc/letsencrypt/live/mobufan.eu.org/privkey.pem /etc/nginx/ssl/key.pem

# 设置正确权限
sudo chmod 644 /etc/nginx/ssl/cert.pem
sudo chmod 600 /etc/nginx/ssl/key.pem
sudo chown -R www-data:www-data /etc/nginx/ssl/

---

🔄 证书管理

📋 查看证书信息

# 查看所有证书
sudo certbot certificates

# 查看证书详情
sudo openssl x509 -in /etc/letsencrypt/live/mobufan.eu.org/cert.pem -text -noout

# 检查证书有效期
sudo certbot certificates | grep -E "Certificate Name|Expiry"

# 检查证书详细信息
sudo openssl x509 -in /etc/letsencrypt/live/mobufan.eu.org/cert.pem -noout -dates

🔄 手动续签证书

# 续签所有证书
sudo certbot renew

# 强制续签特定证书
sudo certbot renew --cert-name mobufan.eu.org --force-renewal

# 测试续签（不实际执行）
sudo certbot renew --dry-run

🗑️ 撤销证书

# 撤销证书
sudo certbot revoke --cert-path /etc/letsencrypt/live/mobufan.eu.org/cert.pem

# 撤销并删除
sudo certbot delete --cert-name mobufan.eu.org

📦 备份证书

# 备份证书文件
sudo tar -czvf ssl-backup-$(date +%Y%m%d).tar.gz /etc/letsencrypt/

# 导出证书和私钥
sudo cp -r /etc/letsencrypt/live/mobufan.eu.org/ ~/ssl-backup/

# 备份续订配置
sudo cp -r /etc/letsencrypt/renewal/ ~/ssl-backup/renewal-config/

---

⏰ 自动续签

🕐 计划任务配置

方法一：直接命令方式

# 编辑 crontab
sudo crontab -e

# 添加以下内容：
# 每天凌晨 1:05 自动续签
5 1 * * * /usr/bin/certbot renew --quiet --renew-hook "sudo systemctl reload nginx"

# 每天凌晨 1:35 同步证书
35 1 * * * /bin/cp /etc/letsencrypt/live/mobufan.eu.org/fullchain.pem /etc/nginx/ssl/cert.pem
36 1 * * * /bin/cp /etc/letsencrypt/live/mobufan.eu.org/privkey.pem /etc/nginx/ssl/key.pem

方法二：使用脚本方式

# 创建续签脚本
sudo mkdir -p /opt/scripts/ssl
sudo nano /opt/scripts/ssl/certbot-renew.sh

📝 智能续签脚本

#!/bin/bash
# 📍 /opt/scripts/ssl/certbot-renew.sh

LOG_FILE="/var/log/certbot-renew.log"
DOMAIN="mobufan.eu.org"
DAYS_BEFORE_EXPIRY=5

echo "$(date): 开始检查证书续签" >> $LOG_FILE

# 获取证书过期时间
EXPIRY_DATE=$(openssl x509 -enddate -noout -in /etc/letsencrypt/live/$DOMAIN/cert.pem | cut -d= -f2)
EXPIRY_TIMESTAMP=$(date -d "$EXPIRY_DATE" +%s)
CURRENT_TIMESTAMP=$(date +%s)
DAYS_UNTIL_EXPIRY=$(( ($EXPIRY_TIMESTAMP - $CURRENT_TIMESTAMP) / 86400 ))

echo "证书有效期剩余: $DAYS_UNTIL_EXPIRY 天" >> $LOG_FILE

if [ $DAYS_UNTIL_EXPIRY -le $DAYS_BEFORE_EXPIRY ]; then
    echo "证书即将过期，开始续签..." >> $LOG_FILE
    
    # 停止 Nginx 并暂时关闭防火墙
    systemctl stop nginx
    iptables -F
    ip6tables -F

    # 执行续签
    if certbot renew --force-renewal; then
        echo "证书续签成功" >> $LOG_FILE
        
        # 同步到 Nginx
        cp /etc/letsencrypt/live/$DOMAIN/fullchain.pem /etc/nginx/ssl/cert.pem
        cp /etc/letsencrypt/live/$DOMAIN/privkey.pem /etc/nginx/ssl/key.pem
        
        # 重启 Nginx
        systemctl restart nginx
        echo "Nginx 重启完成" >> $LOG_FILE
    else
        echo "证书续签失败" >> $LOG_FILE
        systemctl start nginx
    fi
else
    echo "证书仍在有效期内，无需续签" >> $LOG_FILE
fi

echo "$(date): 证书检查完成" >> $LOG_FILE

🔧 设置脚本权限

sudo chmod +x /opt/scripts/ssl/certbot-renew.sh
sudo chown root:root /opt/scripts/ssl/certbot-renew.sh

📅 添加计划任务

sudo crontab -e

# 添加以下内容：
# 每天凌晨 1:25 执行续签脚本
25 1 * * * /opt/scripts/ssl/certbot-renew.sh >> /var/log/certbot-renew.log 2>&1

# 每周清理旧日志
0 3 * * 0 find /var/log -name "certbot*.log" -mtime +30 -delete

# 每月检查证书状态
0 2 1 * * /usr/bin/certbot certificates >> /var/log/certbot-status.log

---

🔧 故障排除

🐛 常见问题解决

1. DNS 验证失败

# 检查 DNS 记录
dig TXT _acme-challenge.mobufan.eu.org
nslookup -type=TXT _acme-challenge.mobufan.eu.org

# 使用其他DNS服务器验证
dig @8.8.8.8 TXT _acme-challenge.mobufan.eu.org

# 手动验证
certbot certonly --manual --preferred-challenges dns --debug

2. 证书续签失败

# 查看详细错误
certbot renew --verbose

# 检查证书状态
certbot certificates

# 强制续签
certbot renew --force-renewal

# 检查日志文件
tail -f /var/log/letsencrypt/letsencrypt.log

3. 权限问题

# 修复证书文件权限
sudo chown -R root:root /etc/letsencrypt/
sudo chmod -R 755 /etc/letsencrypt/
sudo chmod 644 /etc/letsencrypt/live/*/fullchain.pem
sudo chmod 600 /etc/letsencrypt/live/*/privkey.pem

# 检查Nginx用户权限
sudo chown -R www-data:www-data /etc/nginx/ssl/

4. Nginx 配置问题

# 检查 Nginx 配置
sudo nginx -t

# 重新加载 Nginx
sudo systemctl reload nginx

# 查看 Nginx 错误日志
tail -f /var/log/nginx/error.log

# 检查防火墙设置
sudo ufw status
sudo iptables -L

📊 监控和日志

# 查看 Certbot 日志
tail -f /var/log/letsencrypt/letsencrypt.log

# 查看续签日志
tail -f /var/log/certbot-renew.log

# 监控证书有效期
echo "证书有效期:"
openssl x509 -in /etc/letsencrypt/live/mobufan.eu.org/cert.pem -dates -noout

# 设置日志轮转
sudo nano /etc/logrotate.d/certbot

---

💡 最佳实践

🎯 安全建议

# 使用强私钥
sudo openssl dhparam -out /etc/nginx/ssl/dhparam.pem 4096

# 配置完美的前向保密
# 在 Nginx 配置中添加：
# ssl_dhparam /etc/nginx/ssl/dhparam.pem;

# 启用HSTS
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

# 使用安全的SSL协议和密码套件
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

📦 备份策略

#!/bin/bash
# 证书备份脚本
BACKUP_DIR="/backup/ssl/$(date +%Y%m%d)"
mkdir -p $BACKUP_DIR

# 备份证书文件
cp -r /etc/letsencrypt/live/ $BACKUP_DIR/
cp -r /etc/letsencrypt/renewal/ $BACKUP_DIR/
cp -r /etc/letsencrypt/archive/ $BACKUP_DIR/

# 备份 Nginx SSL 配置
cp -r /etc/nginx/ssl/ $BACKUP_DIR/nginx-ssl/
cp /etc/nginx/sites-available/* $BACKUP_DIR/nginx-config/

# 创建压缩备份包
tar -czf $BACKUP_DIR/ssl-backup-full.tar.gz $BACKUP_DIR

echo "备份完成: $BACKUP_DIR"

🔄 自动化部署

#!/bin/bash
# 完整的证书部署脚本
DOMAIN="mobufan.eu.org"
EMAIL="admin@mobufan.eu.org"

# 申请证书
certbot certonly --manual --preferred-challenges dns \
  -d "$DOMAIN" -d "*.$DOMAIN" \
  --email "$EMAIL" \
  --agree-tos --no-eff-email

# 检查申请结果
if [ $? -eq 0 ]; then
    # 创建SSL目录
    mkdir -p /etc/nginx/ssl
    
    # 部署到 Nginx
    cp /etc/letsencrypt/live/$DOMAIN/fullchain.pem /etc/nginx/ssl/cert.pem
    cp /etc/letsencrypt/live/$DOMAIN/privkey.pem /etc/nginx/ssl/key.pem
    
    # 设置权限
    chmod 644 /etc/nginx/ssl/cert.pem
    chmod 600 /etc/nginx/ssl/key.pem
    chown -R www-data:www-data /etc/nginx/ssl/
    
    # 重载 Nginx
    systemctl reload nginx
    
    echo "✅ 证书部署完成"
else
    echo "❌ 证书申请失败"
    exit 1
fi

📋 健康检查

#!/bin/bash
# SSL 健康检查脚本
DOMAIN="mobufan.eu.org"
EXPIRY_THRESHOLD=30
ADMIN_EMAIL="admin@example.com"

# 检查证书有效期
expiry_date=$(openssl x509 -enddate -noout -in /etc/letsencrypt/live/$DOMAIN/cert.pem | cut -d= -f2)
expiry_timestamp=$(date -d "$expiry_date" +%s)
current_timestamp=$(date +%s)
days_until_expiry=$(( ($expiry_timestamp - $current_timestamp) / 86400 ))

# 检查证书链完整性
chain_check=$(openssl verify -CAfile /etc/letsencrypt/live/$DOMAIN/chain.pem /etc/letsencrypt/live/$DOMAIN/cert.pem)

if [ $days_until_expiry -le $EXPIRY_THRESHOLD ]; then
    echo "警告: 证书将在 $days_until_expiry 天后过期" | mail -s "SSL 证书警告 - $DOMAIN" $ADMIN_EMAIL
fi

if [[ $chain_check != *"OK"* ]]; then
    echo "错误: 证书链验证失败 - $chain_check" | mail -s "SSL 证书链错误 - $DOMAIN" $ADMIN_EMAIL
fi

# 输出状态信息
echo "域名: $DOMAIN"
echo "有效期剩余: $days_until_expiry 天"
echo "证书链检查: $chain_check"

---

🎯 提示：建议定期检查证书状态并测试续签流程。生产环境部署前，请在测试环境充分验证所有配置。

📚 扩展资源：

• Let’s Encrypt 文档
• SSL 测试工具
• 证书透明度日志
• Mozilla SSL 配置生成器

🔧 维护命令：

# 查看证书状态
sudo certbot certificates

# 测试续签
sudo certbot renew --dry-run

# 清理旧证书
sudo certbot delete --cert-name example.com

# 更新 Certbot
sudo apt update && sudo apt upgrade certbot

# 检查系统定时任务状态
systemctl status cron
crontab -l

# 验证SSL配置
curl -Iv https://your-domain.com
openssl s_client -connect your-domain.com:443 -servername your-domain.com

---

📝 更新日志：

• 2024-01-01: 初始文档创建
• 2024-01-15: 增加DNS验证详细步骤
• 2024-02-01: 补充故障排除和最佳实践

👥 贡献者：

• 感谢 Certbot 开发团队
• 感谢 Let’s Encrypt 提供的免费证书服务

⚠️ 免责声明：
本文档仅供参考，请根据实际环境进行调整。使用SSL证书时请遵守相关法律法规和服务条款。