在当今互联网环境中,网站使用 HTTPS 加密连接已成为基本安全要求。而 Let's Encrypt 提供了完全免费、自动化、开放的 SSL/TLS 证书服务。本文将详细讲解如何在 RockyLinux 系统上申请并配置 Let's Encrypt 证书,即使你是 Linux 新手也能轻松完成!
准备工作
在开始之前,请确保你已满足以下条件:
一台运行 RockyLinux 8 或 9 的服务器 拥有一个已解析到该服务器公网 IP 的域名(例如:example.com) 服务器已安装并运行 Web 服务(如 Apache 或 Nginx) 具有 sudo 权限的用户账户
第一步:安装 Certbot 客户端
Certbot 是 Let's Encrypt 官方推荐的证书申请工具。我们首先需要在 RockyLinux 上安装它。
对于 RockyLinux 8/9,执行以下命令:
# 启用 EPEL 仓库sudo dnf install -y epel-release# 安装 Certbot 及对应 Web 服务器插件(以 Nginx 为例)sudo dnf install -y certbot python3-certbot-nginx# 如果你使用的是 Apache,则安装:# sudo dnf install -y certbot python3-certbot-apache
第二步:申请 Let's Encrypt 证书
假设你使用的是 Nginx,并且你的域名为
example.com,请确保该域名已在 DNS 中正确解析到服务器 IP。
运行以下命令自动申请并配置证书:
sudo certbot --nginx -d example.com -d www.example.com
如果你使用 Apache,则命令为:
sudo certbot --apache -d example.com -d www.example.com
执行后,Certbot 会自动检测你的 Web 服务器配置,并引导你完成以下步骤:
输入邮箱地址(用于紧急通知和恢复) 同意 Let's Encrypt 服务条款 选择是否加入电子前沿基金会(EFF)邮件列表 自动修改 Web 服务器配置以启用 HTTPS第三步:验证 HTTPS 是否生效
打开浏览器,访问
https://example.com。如果看到绿色锁图标,说明 RockyLinux Let's Encrypt证书申请 成功,网站已启用 HTTPS 加密。
第四步:配置自动续期(关键!)
Let's Encrypt 证书有效期为 90 天,但 Certbot 默认已设置定时任务自动续期。你可以手动测试续期功能是否正常:
sudo certbot renew --dry-run
如果输出中没有错误,说明 Let's Encrypt自动续期 配置成功。系统会每 12 小时通过 systemd timer 或 cron 自动检查并续期即将过期的证书。
常见问题与解决
Q:申请证书时提示“无法访问 .well-known/acme-challenge”?
A:这通常是因为防火墙或 Web 服务器未正确放行 HTTP(80端口)。请确保 80 和 443 端口对外开放:
sudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=httpssudo firewall-cmd --reload
总结
通过本教程,你已经成功在 RockyLinux 上完成了 免费SSL证书 的申请与配置,并启用了 HTTPS 安全连接。整个过程无需付费,且支持 RockyLinux HTTPS配置 的自动化管理。定期检查证书状态,确保网站始终处于安全加密状态。
现在,你的网站不仅更安全,还能提升搜索引擎排名(Google 将 HTTPS 作为 SEO 排名因素之一)!
