你是不是也遇到过这种“站长崩溃瞬间”:网站刚上线准备引流,用户一进来就弹“不安全”;更惨的是,表单不敢填、支付被浏览器拦、广告落地页转化直接掉一截。很多人以为这是“正常现象”,其实多数时候就差一个:SSL 证书。
赚客出海早期第一个站也踩过坑:觉得 HTTP 先跑起来再说,结果 Google 提示安全警告,收录和排名一直不太对劲;后面补装免费证书,又因为没搞懂验证方式,反复遇到 challenge failed、跳转循环、混合内容红锁,甚至证书过期忘续,网站直接半天打不开。
这篇我就按“能落地、能复刻”的思路,把 SSL免费证书怎么申请 这件事讲透:申请前怎么把失败率压到最低、Cloudflare/Let’s Encrypt 怎么选、宝塔一键怎么做、纯服务器怎么用命令行搞定、HTTPS 后必须做的收尾动作、以及最常见报错怎么对照排查。
本文目录
一、SSL免费证书是什么?免费证书能不能放心用
1)SSL/TLS证书解决什么问题(加密 + 身份验证)
SSL/TLS 证书本质就是网站的“安全身份证”,核心解决两件事:
- 加密传输:用户提交表单、登录、支付等数据会被加密传输,避免被中途截获。
- 身份验证:浏览器通过证书确认“你访问的就是这个站”,减少钓鱼仿站风险,地址栏出现小锁图标。
顺带一句:HTTPS 不只是“看起来更正规”,它也是搜索引擎的基础信号之一。你要做长期自然流量,HTTPS 这步基本绕不开。
2)哪些站用免费证书就够了(内容站/联盟站/多数独立站)
大多数站点用免费证书完全够用,尤其是:
- 内容站/博客:核心是安全访问内容。
- 联盟营销站:主要做跳转转化,不存敏感信息也能用得很稳。
- 起步期独立站:预算有限先把 HTTPS 跑通,后续再考虑是否升级付费证书。
什么时候更建议付费证书?一般是:品牌要求极高、需要更强的企业展示/保险/专属支持,或者你确实想把“信任背书”做得更重。
3)免费证书真正的“成本”(90天有效期 + 续期自动化)
免费证书的成本主要是“运维动作”:很多免费证书有效期 90 天(例如 Let’s Encrypt)。解决办法也简单——第一天就把自动续期配好,后面几乎零维护。
二、SSL免费证书申请前置检查清单(失败90%卡这里)
建议你先把这段当作“申请前必做清单”收藏起来。很多失败并不是证书问题,而是环境没对齐。
1)DNS解析是否正确(A/AAAA/CNAME 是否指向当前服务器)
证书机构要验证“你确实拥有这个域名”,DNS 指错了就等于“门牌号写错”,自然验证失败。
- 先确认解析记录:服务器常用 A/AAAA;用了代理/CDN 时可能是 CNAME。
- 确认记录目标是否指向当前服务器 IP(或代理目标)。
- 不确定 DNS 怎么看/怎么改的,先把基础补上:DNS解析教程、以及 DNS是什么意思。
小提示:刚改解析别急着申请,给 DNS 传播留点时间(保守点等 30 分钟)。
2)80/443端口是否开放(安全组/防火墙/反代别拦)
- 80端口:很多 HTTP-01 验证需要它。
- 443端口:HTTPS 访问必需。
- 检查服务器安全组/防火墙是否放行 80/443。
如果你最近被攻击/被扫,端口策略可能被你自己“临时封过”。涉及攻击面时,建议你顺手把防护思路补齐:DDoS攻击是什么意思:10分钟救站。
3)站点环境确认(宝塔 / Nginx / Apache / 面板主机)
- 宝塔/主机面板:新手最省事,一键申请 + 自动续期。
- 纯 Nginx/Apache:走 Certbot / acme.sh 命令行更灵活。
如果你用的是宝塔但不熟面板位置,可以先看:宝塔面板教程。
4)CAA记录是否拦截签发(有就先放行对应CA)
CAA 是“允许哪些 CA 给我签证书”。你如果配置过 CAA,但没允许 letsencrypt / cloudflare 等 CA,就会被直接拦。
- 有 CAA:补一条允许对应 CA 的记录(例如 letsencrypt.org)。
- 没有 CAA:通常不用管。
5)系统时间是否正确(时间漂移会导致验证异常)
别笑,这个真的很常见:服务器时间漂了,证书验证就可能判定异常。把系统时间同步好,能省掉一堆“玄学失败”。
三、免费SSL证书怎么选(按人群给最短答案)
路线A:Cloudflare 免费SSL(不想动服务器的省事方案)
- 适合谁:不想折腾服务器、希望顺便用 CDN/WAF 的站长。
- 优点:开启快、自动续期、省心。
- 注意:推荐使用 Full/Strict,并确保源站也有证书,否则可能出现回源不安全或跳转循环。
如果你后面发现“上了 HTTPS 反而变慢”,很多时候不是 HTTPS 的锅,而是回源/缓存/TLS 配置没打磨:可以接着看 HTTPS网站打开慢怎么提速:10分钟快修清单。
路线B:Let’s Encrypt 免费证书(最通用:有服务器/有面板就选它)
- 适合谁:宝塔/主机面板用户,或有服务器权限的站长。
- 优点:兼容性强、可导出证书、可自动续期、可做通配符(DNS-01)。
- 注意:有效期短(常见 90 天),务必配置自动续期。
路线C:通配符证书(*.domain.com,多子域站群更省事)
- 适合谁:子域名很多(博客/商城/会员中心分子域)的站长。
- 关键点:通配符通常需要 DNS-01 验证(要会加 TXT 记录)。
四、方案对比表(新手用它直接做决定)
| 方案 | 是否免费 | 是否需要服务器权限 | 是否支持通配符 | 续期难度 | 是否可导出证书 | 适合谁 |
|---|---|---|---|---|---|---|
| Let’s Encrypt | 是 | 是 | 是(DNS-01) | 低(可自动续期) | 是 | 有服务器/有面板,想灵活部署的站长 |
| Cloudflare | 是 | 否 | 是 | 极低(自动续期) | 否(托管式) | 追求省事 + CDN/WAF 一起要的新手站长 |
| ZeroSSL | 部分免费 | 是 | 是 | 中(看配置方式) | 是 | 需要导出证书、适配特殊环境的站长 |
| 云厂商托管证书 | 部分免费 | 否 | 部分支持 | 低 | 部分支持 | 追求稳定托管、懒得维护的人 |
五、Let’s Encrypt 免费SSL证书申请教程(宝塔一键 / 纯服务器命令行)
方式1:宝塔怎么申请SSL证书(新手一键版)
- 登录宝塔 → 左侧【网站】 → 进入目标站点。
- 点击【SSL】 → 选择 Let’s Encrypt。
- 勾选需要签发的域名(主域名/子域名)。
- 证书类型 RSA/ECC:新手默认 RSA;海外为主也可以选 ECC(更轻量)。
- 勾选【自动续期】 → 点击申请。
申请成功后立刻做 3 个验证(别跳过):
- 浏览器访问域名,是否显示小锁 + HTTPS。
- 点小锁查看证书颁发者/有效期是否正确。
- 确认已开启强制 HTTPS(避免 http/https 混访)。
方式2:纯服务器 Certbot 申请(Nginx / Apache)
(1)Nginx 申请命令(示例)
# Ubuntu/Debian
sudo apt update && sudo apt install -y certbot python3-certbot-nginx
# CentOS/RHEL(示例,按发行版调整)
sudo yum install -y certbot python3-certbot-nginx
# 申请并自动部署(把 domain.com 换成你的域名)
sudo certbot --nginx -d domain.com -d www.domain.com
(2)Apache 申请命令(示例)
# Ubuntu/Debian
sudo apt update && sudo apt install -y certbot python3-certbot-apache
# 申请并自动部署
sudo certbot --apache -d domain.com -d www.domain.com
HTTP-01 vs DNS-01 怎么选
- HTTP-01:依赖 80 端口,简单省事,但端口被拦/被占就会失败。
- DNS-01:通过加 TXT 记录验证域名所有权,不依赖 80 端口;通配符证书常用它。
申请成功后怎么确认“真成功”
- 浏览器:小锁 + 证书信息正常。
- 服务器:
sudo certbot certificates
六、SSL装好后必须做的3件事(否则等于白装)
1)全站强制HTTPS(HTTP → HTTPS 301跳转)
目的:避免混访、统一权重、减少收录分裂。
Nginx 301 跳转示例:
server {
listen 80;
server_name domain.com www.domain.com;
return 301 https://$host$request_uri;
}
Apache 301 跳转示例:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
2)Mixed Content 混合内容修复(红锁/不安全最常见原因)
- 打开 Chrome → F12 → Console,找到 Mixed Content 报错资源。
- 站内图片/JS/CSS:把 http 资源替换成 https。
- 第三方脚本:如果不支持 https,建议更换(否则永远红锁)。
可选“兜底策略”(谨慎使用):CSP 自动升级不安全请求
add_header Content-Security-Policy "upgrade-insecure-requests;";
3)统一站内SEO信号(给搜索引擎看的收尾动作)
- canonical 全部指向 https 版本。
- 站内链接统一为 https。
- sitemap 重新生成并提交(HTTPS版)。
这块如果你想系统把“收录/权重/结构”做稳,建议把你站内这两篇一起串起来看:网站收录排查、网站SEO优化。
七、免费SSL证书自动续期怎么做(稳定性最关键)
1)宝塔自动续期(最省心)
申请时勾选【自动续期】即可;如果之前没勾,去站点 SSL 设置里补勾保存。
2)Certbot 自动续期(cron + renew + reload)
先做一次模拟续期测试:
sudo certbot renew --dry-run
再加定时任务(示例:每月1号执行一次):
sudo crontab -e
# 添加一行(Nginx示例,Apache把 nginx 改成 apache2)
0 0 1 * * sudo certbot renew --quiet && sudo systemctl reload nginx
3)怎么验证续期真的生效
- 续期后查看到期时间是否后延:
sudo certbot certificates
- 或浏览器查看证书到期时间、序列号变化。
八、SSL免费证书申请失败/安装报错怎么办(对照表)
1)challenge failed / 验证失败
现象:申请时提示 challenge failed。
常见原因:DNS 未生效/解析指错、代理拦截、验证路径不可达、缓存干扰。
解决步骤:
- 回到 DNS 解析核对(必要时等 30 分钟再试)。
- 如果用了代理/CDN,先临时关闭代理再申请,成功后再开启。
- HTTP-01:检查
/.well-known/acme-challenge/是否可被访问。
2)80端口不通/被占用
现象:提示 80 未开放或被占用。
- 安全组/防火墙放行 80。
- 检查是否有服务占用 80(Nginx/Apache/IIS 冲突)。
- 如果你不方便开 80,改用 DNS-01 验证路线。
3)装完还是红锁/不安全
- 证书链不完整:补全中间证书链。
- 装错域名证书:重新签发正确域名。
- Mixed Content:按上面混合内容流程修复。
4)HTTPS后页面错乱/资源加载失败
- 优先查 Mixed Content(最常见)。
- 清缓存:浏览器缓存 + 服务器缓存 + WP 缓存插件缓存。
- 第三方脚本不支持 https:替换成支持 https 的服务。
九、1分钟收尾清单(照着勾完就算真搞定)
- ✅ 域名解析正确(必要时复习:DNS解析教程)
- ✅ 80/443 端口放行(或已改走 DNS-01)
- ✅ 浏览器小锁正常,证书域名/有效期正确
- ✅ 全站 301 强制 HTTPS(无 http/https 混访)
- ✅ Console 无 Mixed Content 报错
- ✅ canonical/站内链接/sitemap 统一为 https(收录异常可查:网站收录排查)
- ✅ 自动续期已配置并完成 dry-run 验证
最后一句站长经验:SSL 装好只是“上线门槛”,想让出海访问又快又稳,后面通常还要打磨 TLS/缓存/回源/TTFB。你如果已经明显感觉“HTTPS 后变慢”,直接去按 HTTPS提速清单 把关键链路捋一遍,效果会很直观。
FAQ:新手最常问的SSL问题
Q1:免费SSL证书安全吗?会不会容易被破解?
“免费”指的是费用,不代表弱加密。像 Let’s Encrypt 这类被广泛使用的 CA,本身安全性并不差。真正容易出事的,往往是:证书过期、配置错误、混合内容、源站回源不安全等运维问题。
Q2:我只做内容站/联盟站,有必要上HTTPS吗?
有必要。用户信任、浏览器提示、以及搜索引擎基础信号,都会让 HTTPS 更划算。
Q3:为什么我开了Cloudflare SSL,源站还需要证书?
如果你用 Full/Strict,为了保证 Cloudflare 回源到你服务器的链路也是加密/可验证的,源站需要证书(可以是免费证书)。否则容易出现回源不安全或循环跳转。
Q4:我不想开80端口,还能申请Let’s Encrypt吗?
可以,走 DNS-01 验证(通过添加 TXT 记录验证域名所有权),不依赖 80 端口。
Q5:HTTPS切换后收录下降正常吗?
短期波动很常见,重点是你有没有把 301、canonical、站内链接、sitemap 全部统一成 https。收录问题可按:网站收录排查 逐项过一遍。
Q6:证书自动续期都配了,为什么我还建议做提醒?
因为现实世界会有“服务器宕机/续期命令失败/权限变更”的意外。建议每月自查一次到期时间,或者加监控告警,避免到期那天才发现。
发表评论