向服务商购买一张常见的 DV 通配符 SSL 证书，通常每年价格在数百至一千多元人民币不等；若名下有多个域名需要使用证书，总费用每年可能达到数千元。

在当前强调降本增效的环境下，若评估后认为免费证书能够满足需求，小公司和个人网站即可节省相应成本。

Let’s Encrypt 简介

Let’s Encrypt 是一家免费、开放、自动化的公益性证书颁发机构（CA），由互联网安全研究组（ISRG）运作，属于非营利组织。其目标是推广 HTTPS 的应用，为构建更安全、尊重隐私的互联网提供免费而便捷的支持。

操作方法

根据不同使用环境，Let’s Encrypt 提供多种验证与获取证书的方式。常用工具是 Certbot，详见文档：https://eff-certbot.readthedocs.io/en/stable/。

在部分环境中，可配置工具定期自动续期，减少维护工作。

由于服务器环境较为老旧，且需要将证书上传至阿里云并部署到多个云服务，本文暂采用“本地生成证书—手动上传与更新”的方式。

0x01 在本地生成证书

本文使用 Docker 运行 Certbot，参见文档：https://eff-certbot.readthedocs.io/en/stable/install.html#alternative-1-docker。

生成通配符证书的示例命令如下：

docker run -it --rm --name certbot \  -v '/Users/mazhuang/some/path/letsencrypt:/etc/letsencrypt' \  certbot/certbot certonly \  --preferred-challenges dns \  --manual \  --server https://acme-v02.api.letsencrypt.org/directory \  --key-type rsa --rsa-key-size 2048

• --preferred-challenges dns使用 DNS 方式进行域名验证；
• --manual以交互式方式进行询问与操作；
• --key-type rsa --rsa-key-size 2048生成 2048 位 RSA 私钥（部分阿里云服务不支持默认的 ECC 证书）。

执行后会依次询问邮箱、协议授权、域名等信息，随后提示添加 DNS TXT 记录以完成域名所有权验证，按提示操作即可。

生成成功后，证书与私钥保存在挂载的本地目录中，例如上述命令中的 /Users/mazhuang/some/path/letsencrypt/archive/{domain name}。各文件的说明可参考：https://eff-certbot.readthedocs.io/en/stable/using.html#where-certs。

0x02 上传和部署证书

将证书上传到阿里云的数字证书管理服务。可使用其一键部署功能（付费），或在各云服务中手动选择使用该证书（免费），按需取用。

0x03 定期更新证书

Let’s Encrypt 颁发的证书有效期为 90 天，建议在到期前 30 天内更新。可重复步骤 0x01 生成新证书，然后上传并部署。

注意事项

部分极为老旧的平台有可能不支持 Let’s Encrypt 颁发的证书，建议评估后再决定是否使用，具体的兼容情况可以参考：https://letsencrypt.org/zh-cn/docs/certificate-compatibility/ 。

比如我这边就遇到了因为使用的是 JDK 8 的低于 141 的版本，部署完证书后，发现 xxl-job 定时任务执行器没有注册上，报错 sun.security.validator.ValidatorException: PKIX path building failed。

解决方法：

1. 下载 ISRG Root X1 证书在这里可以找到： https://letsencrypt.org/certificates/cd /optget https://letsencrypt.org/certs/isrgrootx1.pem
2. 导入证书到 JDK 的 cacerts 中keytool -trustcacerts -keystore "/opt/jdk/jre/lib/security/cacerts" -storepass changeit -noprompt -importcert -alias lets-encrypt-x1 -file "/opt/isrgrootx1.pem"
3. 重启服务

小结

以上步骤简单、成本为零。对小公司和个人网站而言，是节省 SSL 证书费用的可行方案。

若环境允许，建议配置自动化续期，进一步降低维护成本，按需采用。

参考链接

• https://letsencrypt.org/zh-cn/
• https://eff-certbot.readthedocs.io/en/stable/

​