Let's Encrypt（SSL） - 免费、自动化且开放的证书颁发机构（CA）

Let’s Encrypt是什么

Let’s Encrypt是一家免费、自动化且开放的证书颁发机构（CA），致力于为全球网站提供免费的TLS/SSL证书，简化 HTTPS 加密的部署流程。它由非营利组织 互联网安全研究组（ISRG） 运营，目标是构建更安全、更隐私的互联网。

核心特点

免费：所有证书均免费提供。
自动化：通过 ACME 协议实现证书申请、验证和续签的自动化。
支持多种验证方式：包括 HTTP-01、DNS-01 和 TLS-ALPN-01（具体取决于证书类型）。
短有效期：
- 普通证书有效期为 90 天（需定期自动续签）。
- 6 天有效期证书（2025 年推出），进一步推动自动化运维。
IP 地址支持：自 2025 年起支持为 IP 地址签发证书（仅限 HTTP-01 或 TLS-ALPN-01 验证）。

Let’s Encrypt的主要功能

免费TLS/SSL证书
- 为域名和 IP 地址提供加密证书，支持 HTTPS 协议。
- 证书由 ISRG 签名，受主流浏览器和操作系统信任。
自动化管理
- 通过 ACME 协议（Automated Certificate Management Environment）实现证书的自动申请、验证、续签和部署。
- 工具如 Certbot 可自动配置服务器（如 Nginx、Apache）并更新证书。
多平台支持
- 支持主流 Web 服务器（Nginx、Apache、Caddy 等）、云服务（AWS、Azure、阿里云）和容器化平台（Kubernetes）。
证书透明度（CT）
- 所有签发的证书需提交至 CT 日志，增强透明度和安全性。
社区与生态
- 提供开源工具（如 Certbot、acme.sh）和详细的文档。
- 与 Kubernetes 的 cert-manager 集成，支持自动证书管理。

如何使用Let’s Encrypt

1. 基本条件

拥有域名或 IP 地址，并已绑定服务器。
服务器需支持 HTTPS 协议（如 Nginx/Apache）。
具备服务器 SSH 登录权限和 sudo 权限。

2. 安装Certbot工具

Certbot 是 Let’s Encrypt 官方推荐的客户端工具。

Ubuntu/Debian：

[Bash]

sudo apt update
sudo apt install certbot

CentOS/RHEL：

[Bash]

sudo yum install snapd
sudo systemctl enable --now snapd.socket
sudo ln -s /var/lib/snapd/snap /snap
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot

3. 申请证书

自动配置（以 Nginx 为例）：
[Bash]
```
sudo certbot --nginx
```
Certbot 会自动修改 Nginx 配置文件并部署 HTTPS。
手动模式（DNS 验证）：
[Bash]
```
sudo certbot certonly --manual --preferred-challenges=dns -d example.com
```
需手动在 DNS 服务商处添加 TXT 记录以完成验证。

HTTP 验证：

[Bash]

sudo certbot certonly --webroot -w /var/www/html -d example.com

需确保服务器能响应 HTTP 请求。

4. 配置 HTTPS 服务

Nginx 示例：
修改配置文件 /etc/nginx/sites-available/default：

[Nginx]

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    location / {
        root /var/www/html;
        index index.html;
    }
}

重启 Nginx：

[Bash]

sudo systemctl restart nginx

5. 自动续签

测试续签：
[Bash]
```
sudo certbot renew --dry-run
```
定时任务：
Certbot 默认已配置定时任务，会在证书过期前自动续签。

Let’s Encrypt的应用场景

1. 网站 HTTPS 加密

中小型网站：快速为博客、企业官网等启用 HTTPS。
大型网站：通过自动化工具（如 Certbot）大规模部署证书。

2. 云服务与容器化平台

Kubernetes：集成 cert-manager 实现自动证书管理（如 Azure 应用程序网关示例）。
无服务器架构：为 Lambda、Cloud Functions 等动态服务提供 HTTPS 支持。

3. 物联网（IoT）与边缘计算

IP 地址证书：为工业设备、边缘节点等无域名的场景启用 TLS 加密。
制造业：通过 HTTPS 保护 PLC（可编程逻辑控制器）通信，防止中间人攻击。

4. 开源与开发者工具

Caddy 服务器：默认支持 Let’s Encrypt，开箱即用。
开发环境：为本地开发服务器快速生成测试证书。

5. 企业合规与安全

PCI DSS 合规：满足支付卡行业数据安全标准（如 HTTPS 必须要求）。
GDPR 与隐私保护：通过 HTTPS 加密用户数据，符合欧盟隐私法规。

Let’s Encrypt的最新趋势

6 天有效期证书（2025年推出）
- 强制要求自动化续签，倒逼企业优化 DevOps 流程。
- 适配 NIST 新标准（建议关键基础设施使用 ≤7 天证书）。
IP 地址证书
- 打破域名垄断，支持无域名场景（如 IoT 设备、边缘节点）。
- 验证方式限制为 HTTP-01 或 TLS-ALPN-01。
隐私与自动化平衡
- 终止证书到期邮件通知，推荐第三方监控工具（如 Red Sift）。
- 加速抗量子算法过渡（NIST 抗量子标准将于 2026 年落地）。