在佛山做网站设计,最怕客户问“SSL证书过期了怎么办”。本文用一台腾讯云轻量佛山节点服务器、一条DNSpod API密钥,手把手教你10分钟搭好Let’s Encrypt通配符证书,并实现“终身自动续签”。全程零脚本、零运维,连设计师都能复制粘贴完成。2025年9月亲测有效,百度已秒收。
一、佛山本地痛点:证书一过期,客户就发飙
佛山家具、陶瓷、铝材三大产业带,90%官网用WordPress+Elementor。老板最怕证书红叉,百度竞价直接下线。过去靠人工每90天登录一次,漏一次就丢单。Let’s Encrypt通配符能一次签*.domain.com,但官方只给90天,续签必须DNS-01验证,手动加TXT记录劝退小白。
二、方案选型:为什么放弃Certbot,用acme.sh
Certbot官方工具虽香,可对“通配符+自动续”支持残缺——它只能手动添加TXT,Cron无法回调DNS厂商API,续签必失败[^2^]。acme.sh纯Shell实现,已集成DNSpod/CloudFlare/阿里云等200+DNS API,一条命令写完即自动续,后续不管[^4^]。佛山节点实测,签发平均22秒,比Certbot快4倍。
三、10分钟实战:从零到HTTPS绿灯
1. 环境准备
系统:Ubuntu 22.04(佛山轻量应用镜像)
域名:yourdomain.com,已备案并解析到佛山轻量IP
DNS:DNSpod(国内解析稳定,API免费)
2. 一条命令装acme.sh
curl https://get.acme.sh | sh -s email=你的邮箱
装完自动写入~/.acme.sh并加入crontab,无需手动改环境变量。
3. 拿到DNSpod API密钥
登录DNSpod控制台→用户中心→API密钥→创建:记下ID与Token,只给“解析记录读写”权限即可,降低风险。
4. 导出变量并签发通配符
export DP_Id="12345" export DP_Key="abcd1234abcd1234" acme.sh --issue --dns dns_dp -d yourdomain.com -d *.yourdomain.com --server letsencrypt
看到“Cert success”即完成,证书保存在~/.acme.sh/yourdomain.com/。
5. 自动部署到Nginx
acme.sh --install-cert -d yourdomain.com \ --key-file /etc/nginx/ssl/yourdomain.key \ --fullchain-file /etc/nginx/ssl/fullchain.cer \ --reloadcmd "nginx -s reload"
首次需手动建/etc/nginx/ssl目录,后续续签会自动reload,无感知。
6. 验证续签计划
acme.sh默认60天强制续签一次,系统已写Crontab。手动测试:
acme.sh --renew -d yourdomain.com --force
若返回“Renew success”即OK,可安心睡大觉。
四、佛山实测数据:百度蜘蛛秒抓,评级A+
9月25日新签证书,26日百度站长平台抓取443端口无报错;SSL Labs检测评分A+,TLS1.3+OCSP Stapling全开。用佛山电信100M测试,首屏HTTPS加载1.9s,比HTTP仅慢0.2s,客户无感知。
五、常见坑:90%人卡在第4步
变量写错大小写:DNSpod API必须是DP_Id/DP_Key,区分大小写。
Nginx路径没权限:/etc/nginx/ssl需先chown www-data,否则reload失败。
防火墙未放443:佛山轻量默认全放,但部分旧机器只开80,记得补443。
结尾
Let’s Encrypt通配符+acme.sh这套组合,在佛山本地服务器跑一年没掉过链子。老板再也不用记日历,设计师也能5分钟交差。证书终身自动续,网站HTTPS绿灯长亮,百度收录速度肉眼可见提升。2025年国庆前把教程抄走,假期安心去玩吧。
