文档中心 登陆

文档中心

CentOS/Rocky/AlmaLinux Apache服务器免费SSL证书申请与自动续期完整教程(Let's Encrypt自动/手动双模式)

发布时间:2026-05-08 10:44:21     更新时间:2026-05-08 16:16:13

一、教程说明

采用 Let's Encrypt 免费SSL证书,证书有效期90天,支持自动免费续期(按 Let's Encrypt 现行政策)。分为自动模式(Apache插件自动配置)和手动模式(仅获取证书,不改动网站配置)。所有example.com为占位符,必须替换为真实域名。

适用系统: CentOS7/8/9/Rocky/AlmaLinux

前置条件

       域名已成功解析到服务器公网IP

       服务器防火墙/安全组放行 80443 端口

       Apache 服务正常运行,网站可正常访问

自动VS手动 总结对照表

方式

优点

缺点

适用场景

自动申请

一键部署、自动写配置、自动跳转、零门槛

会自动修改Apache配置,复杂站点易冲突

新手、简单单站点、快速上线、标准环境

手动申请

完全可控、不改配置、支持通配符、适配端口被封场景

需要自己写虚拟主机配置,操作繁琐

生产环境、复杂多站点、80端口占用、通配符证书、严谨运维

 

二、环境准备(带命令注释)

1、防火墙放行端口

# 防火墙放行80443端口,如果使用云主机在云平台也需要放行

bash
sudo firewall-cmd --add-service=http --permanent   # 永久放行http
sudo firewall-cmd --add-service=https --permanent  # 永久放行https
sudo firewall-cmd --reload                         # 重载防火墙生效

2、安装证书工具 Certbot

bash
# CentOS 8/9 / Rocky Linux / AlmaLinux 系统(使用 dnf
sudo dnf install -y epel-release         # 安装扩展源
sudo dnf install -y certbot python3-certbot-apache # 安装Certbot
certbot --version # 检查安装是否成功

 

# CentOS 7 系统(不支持 dnf,使用 yum
sudo yum install -y epel-release
sudo yum install -y python3  #安装 Python3
sudo yum install -y certbot python3-certbot-apache
certbot --version

3、开启Apache必备模块

# 必须安装mod_ssl模块

Bash
# CentOS8+/Rocky/AlmaLinux安装ApacheSSL模块
sudo dnf install -y mod_ssl


# CentOS 7 系统(不支持 dnf,使用 yum
sudo yum install -y mod_ssl

sudo systemctl restart httpd            # 重启Apache命令(服务名是 httpd

三、自动申请SSL证书(Certbot自动配置)

自动模式会修改 /etc/httpd/conf.d/ 下的虚拟主机配置,强烈建议在执行前备份,这是运维基本规范。

Bash
sudo cp -a /etc/httpd/conf.d /etc/httpd/conf.d.bak.$(date +%Y%m%d)

1、核心命令

bash
# 自动申请证书、自动修改apache配置、自动配置http强制跳转https
# -d 绑定域名,可绑定多个域名,example.com换成自己的域名
sudo certbot --apache -d example.com -d www.example.com

2、交互步骤说明

       输入邮箱:用于证书到期告警

       A:同意用户协议

       N:拒绝邮件推送(可选)

       选择 Redirect/重定向选项:开启永久跳转(所有http自动跳转https

注:Certbot 新版本交互流程可能有调整,建议注明"根据提示操作即可"

3、自动模式适用场景

       新手用户、不想手动修改配置文件

       网站配置简单、单站点、标准Apache虚拟主机

       希望一键部署、零配置、快速上线HTTPS

       无自定义特殊Apache配置,接受程序自动改写配置

四、手动申请SSL证书(仅获取证书,不修改网站配置)

手动模式只生成证书文件,不会改动任何Apache配置,所有配置需要自己写,所有example.com必须替换为真实域名。

1HTTP验证(80端口正常可用、推荐)

bash
# certonly:仅获取证书,不配置网站
sudo certbot certonly --apache -d example.com -d www.example.com

2DNS 验证(适用于 80 端口被占用 / 封禁场景;本教程不含 DNS 插件安装教程,纯手动 DNS 证书无法自动续期)

bash
# 手动DNS验证 TXT 记录,支持通配符域名 *.example.com
# 执行后会提示你在域名解析商处添加 TXT 记录,按提示操作即可
sudo certbot certonly --manual --preferred-challenges=dns -d *.example.com -d example.com

DNS 验证操作步骤:

  1. 执行上述命令后,终端会显示类似 _acme-challenge.example.com TXT 记录名称和记录值
  2. 登录你的域名解析商(如阿里云、腾讯云、Cloudflare 等)控制台
  3. 添加一条 TXT 记录:主机记录填 _acme-challenge,记录值填终端提供的字符串
  4. 等待 DNS 生效(通常 1-5 分钟,部分服务商可能需要 10 分钟)
  5. 按回车继续,Certbot 会自动验证 DNS 记录
  6. 验证通过后,证书会生成在 /etc/letsencrypt/live/ 目录下

⚠️ 注意:申请通配符证书 *.example.com时,通常需要同时添加 -d example.com(根域名),否则根域名无法使用该证书。

3、手动Apache SSL配置文件模板

证书统一存放路径:/etc/letsencrypt/live/你的域名/

Apache

# 确保 Apache 已监听 443 端口(通常在 /etc/httpd/conf.d/ssl.conf 中已配置)

# 如未配置,请在 httpd.conf ssl.conf 中添加:Listen 443

# Listen 443     # 监听 443 端口(httpd.conf ssl.conf 已有则切勿重复添加,我写的已注释)

# OCSP Stapling 缓存(全局配置,所有虚拟主机共享)

SSLStaplingCache "shmcb:/var/run/httpd/ssl_stapling(32768)"

 

<VirtualHost *:443>

    ServerName example.com

    ServerAlias www.example.com

    DocumentRoot /var/www/html

 

    # 开启SSL加密

    SSLEngine on

   

    # ============================================

    # Mozilla SSL Configuration Generator 推荐配置

    # 配置级别:Intermediate(兼容性佳,推荐绝大多数系统使用)

    # 生成地址:https://ssl-config.mozilla.org/

    # ============================================

   

    # 禁用不安全的 SSL/TLS 版本,仅保留 TLS 1.2 TLS 1.3
    # TLS 1.3 CentOS 7 可能不支持

    SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

   

    # Mozilla 推荐的加密套件(Intermediate 配置)

 SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305

   

    # 优先使用服务器端配置的加密套件顺序

    SSLHonorCipherOrder on

   

    # 启用 OCSP Stapling(启用缓存、提升性能,减少客户端验证延迟)

    SSLUseStapling on

 

    # 证书公钥链路径(fullchain.pem 包含服务器证书+中间证书)

    SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem

    # 证书私钥路径

    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

   

    # 可选:开启 HSTS(生产环境推荐,首次配置建议先测试无误后再启用)

    # Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"

</VirtualHost>

 

# HTTP 强制跳转 HTTPS(避免重复跳转)

<VirtualHost *:80>

    ServerName example.com

    ServerAlias www.example.com

    RewriteEngine on

    # 仅当未使用 HTTPS 时才跳转,防止循环重定向

    RewriteCond %{HTTPS} off

    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

</VirtualHost>

补充:配置校验命令

bash

httpd -M | grep ssl     # 校验Apache SSL模块是否加载成功

httpd -t         # 校验Apache配置文件语法是否无误

# 验证 OCSP Stapling 是否生效,正常应显示:OCSP Response Status: successful

openssl s_client -connect example.com:443 -servername example.com -status | grep -i "OCSP Response Status"

|
# 访问 https://www.ssllabs.com/ssltest/ 输入域名检测,在线检测 SSL 配置评分(推荐)

4、手动模式适用场景

       80端口被Nginx、宝塔、其他程序占用,无法HTTP验证

       服务器禁止对外开放80端口

       多站点复杂环境、自定义Apache虚拟主机配置,禁止程序自动篡改配置

       需要申请 通配符证书 *.域名

       需要统一管理、备份、迁移证书,自定义证书存放路径

       生产严谨环境,所有配置必须人工可控

五、SSL证书自动续期(手动/自动模式通用)

Let’s Encrypt 证书仅90天有效期,必须依赖自动续期,否则网站SSL失效、浏览器报红。

1、测试续期(必须执行,校验环境是否正常)

bash                                                                                                                                                         
# --dry-run:模拟续期,不真正更新证书,仅测试
sudo certbot renew --dry-run

出现 The dry run was successful 代表续期环境正常。

2、真实手动续期命令

bash
# 检测所有证书,到期前30天自动续期
sudo certbot renew

3、配置兜底自动续期定时任务

bash                                                                                                                                                
sudo touch /var/log/certbot-renew.log   # 创建日志文件

sudo chmod 644 /var/log/certbot-renew.log # 设置权限

 

crontab -e  # 编辑定时任务


which certbot   # 先确认 certbot 实际安装路径, 案例路径/usr/bin/certbot


#每天凌晨2点检测续期,成功重载httpd

SHELL=/bin/bash

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

# 每天凌晨2点检测续期,证书更新成功后自动重载 Apache

0 2 * * * /usr/bin/certbot renew --quiet --deploy-hook "systemctl reload httpd" >> /var/log/certbot-renew.log 2>&1

参数注释

       --quiet:静默执行,不输出冗余日志

       --deploy-hook:证书更新成功后,自动重载Apache生效

六、常用运维命令大全(带完整注释)

bash

certbot certificates   # 查看本机所有SSL证书、有效期、域名、状态
certbot delete -d example.com    # 删除指定证书,example.com换成自己的实际域名
systemctl reload httpd         # 重载Apachehttpd),使新证书/新配置生效
systemctl restart httpd         # 重启Apachehttpd)服务
systemctl list-timers | grep certbot         # 查看certbot自动定时任务状态
crontab -l | grep certbot                               # 如未找到,也可用 crontab 检查
sudo ls -lh /var/log/certbot-renew.log  # 查看日志文件大小(避免长期运行后过大)
sudo tail -f /var/log/certbot-renew.log  # 查看最近续期日志
sudo grep -iE "error|fail|unsuccessful" /var/log/certbot-renew.log  # 查看是否有续期失败记录

上一篇: 思源黑体安装教程,小白轻松上手,Windows/Mac 通用,附官方 + 网盘下载地址
下一篇: Ubuntu/Debian Apache 服务器免费 SSL 证书申请与自动续期完整教程(Let's Encrypt自动/手动双模式)

相关文档

联系我们

  • 电话咨询: 0451-85991100
  • QQ咨询: 594128886
  • 业务咨询: 1165077278
  • 在线咨询
全天候品质服务
全天候品质服务
快速客服响应
快速客服响应
客户价值为先
客户价值为先
多层安全防护
多层安全防护
QQ在线咨询
业务咨询:594128886
备案咨询:1165077278
微信扫码咨询
微信客服二维码

微信号:yuy1899

0451-85991100 工作日 09:00-18:00