新手教程：使用Certbot与DNS验证申请HTTPS证书

1. 项目背景与需求分析

最近接手公司云服务器运维工作时，发现一个重要问题：服务器上的HTTPS证书即将过期。作为刚接触运维的新手，我需要找到一种安全可靠的方式将本地生成的证书部署到云服务器上。经过多次尝试，总结出一套适合新手的证书申请与部署方案，虽然过程有些"奇怪"且效率不高，但确实解决了实际问题。

这个方案的核心在于：

• 在本地Ubuntu虚拟机中使用Certbot工具生成证书
• 通过DNS验证方式完成域名所有权认证
• 将生成的证书文件安全传输到华为云服务器
• 在Nginx Proxy Manager中配置证书

整个过程不需要直接操作云服务器命令行，适合运维新手操作。下面将详细介绍每个步骤的实现方法和注意事项。

2. 环境准备与工具安装

2.1 虚拟机环境搭建

我选择在本地使用VMware Workstation创建Ubuntu虚拟机作为证书生成环境，主要考虑以下几点：

1. 隔离生产环境，避免操作失误影响线上服务
2. Ubuntu对Certbot支持良好，安装配置简单
3. 虚拟机可以随时创建快照，操作失败可快速回滚

具体安装步骤：

1. 从清华大学开源镜像站下载Ubuntu LTS版本ISO镜像

   • 推荐24.04 LTS版本，提供5年长期支持
   • 国内镜像站下载速度更快，避免网络问题

2. 在VMware中创建新虚拟机

   • 分配至少2核CPU和4GB内存
   • 硬盘空间建议40GB以上
   • 网络选择NAT模式即可

3. 安装Ubuntu系统

   • 选择最小化安装，不安装额外软件
   • 设置好root密码和普通用户账户
   • 安装完成后执行sudo apt update && sudo apt upgrade更新系统

提示：虚拟机安装完成后，建议先创建一个快照，方便后续操作失误时恢复。

2.2 必要工具安装

在Ubuntu中需要安装以下工具：

• Certbot：用于证书申请和管理
• OpenSSH Client：用于文件传输（如果使用SCP方式）
• Nginx（可选）：用于本地测试证书

安装命令：

bash复制sudo apt update
sudo apt install -y certbot openssh-client nginx

验证Certbot安装：

bash复制certbot --version
# 应输出类似：certbot 2.6.0

3. 证书申请与DNS验证

3.1 申请证书准备工作

在申请证书前，需要确保：

1. 拥有域名的管理权限
2. 可以在域名DNS解析中添加TXT记录
3. 确定需要申请证书的域名（主域名和子域名）

我这次需要为example.com和所有子域名申请通配符证书，命令如下：

bash复制sudo certbot certonly --manual --preferred-challenges dns \
-d example.com -d *.example.com

参数说明：

• certonly：只申请证书，不自动安装
• --manual：手动模式，适合离线申请
• --preferred-challenges dns：使用DNS验证方式
• -d：指定域名，可以多次使用

3.2 DNS验证过程详解

执行上述命令后，Certbot会暂停并显示类似以下信息：

code复制Please deploy a DNS TXT record under the name:
_acme-challenge.example.com
with the following value:
Xr4K9ZqQ3wLm2NpO7v8J1xY2zA5B6C8D0E4F5G6H7I

在华为云DNS解析中的操作步骤：

1. 登录华为云控制台
2. 进入"云解析服务 DNS"
3. 选择对应域名的解析记录
4. 添加TXT记录：
   • 主机记录：_acme-challenge
   • 记录类型：TXT
   • 记录值：Certbot提供的随机字符串
   • TTL：保持默认600秒

重要提示：DNS记录生效可能需要几分钟到几十分钟不等，可以通过dig TXT _acme-challenge.example.com命令检查是否生效。

3.3 证书生成与文件位置

DNS验证通过后，Certbot会自动生成证书文件，通常位于：

code复制/etc/letsencrypt/live/example.com/

该目录下包含以下重要文件：

• cert.pem：域名证书
• chain.pem：中间证书
• fullchain.pem：完整证书链（包含域名证书和中间证书）
• privkey.pem：私钥文件

安全提示：privkey.pem是敏感文件，必须严格限制访问权限，建议设置为600权限。

4. 证书文件传输到云服务器

4.1 本地准备证书文件

由于Certbot生成的证书文件位于系统目录，普通用户无权限直接访问。可以先将文件复制到用户目录：

bash复制mkdir -p ~/certs/example.com
sudo cp /etc/letsencrypt/live/example.com/fullchain.pem ~/certs/example.com/
sudo cp /etc/letsencrypt/live/example.com/privkey.pem ~/certs/example.com/
sudo chown -R $USER:$USER ~/certs

4.2 传输方式选择与实施

有多种方式可以将证书文件传输到云服务器：

方法1：SCP命令（推荐）

bash复制scp -r ~/certs/example.com user@server_ip:/path/to/certs/

方法2：SFTP客户端

• 使用FileZilla等图形化工具
• 连接协议选择SFTP
• 端口默认22

方法3：华为云OBS中转

1. 将证书文件上传到OBS存储桶
2. 在云服务器上下载文件

安全建议：传输完成后，应立即删除临时存储的证书文件，特别是私钥文件。

5. Nginx Proxy Manager证书配置

5.1 登录NPM管理界面

1. 访问Nginx Proxy Manager的Web界面（通常是https://服务器IP:81）
2. 使用管理员账号登录

5.2 添加SSL证书

1. 点击"SSL Certificates"选项卡
2. 点击"Add SSL Certificate"
3. 填写证书信息：
   • Certificate Name：example.com证书（自定义名称）
   • Certificate Key：粘贴privkey.pem内容
   • Certificate：粘贴fullchain.pem内容

5.3 应用到代理主机

1. 进入"Hosts"列表

2. 编辑对应的代理主机

3. 在SSL选项卡中：

   • 启用SSL
   • 选择刚添加的证书
   • 开启"Force SSL"（强制HTTPS）
   • 开启HTTP/2支持

4. 保存设置并测试访问

常见问题：如果出现证书不生效的情况，可以尝试重启Nginx服务或清除浏览器缓存。

6. 证书续期与管理

6.1 证书有效期监控

Let's Encrypt证书有效期为90天，建议设置监控：

1. 在日历上标记到期前30天提醒
2. 使用监控工具检查证书有效期
3. 设置证书过期告警

检查证书有效期命令：

bash复制sudo certbot certificates

6.2 续期操作流程

续期步骤与首次申请类似：

1. 在本地Ubuntu执行续期命令：

bash复制sudo certbot renew --manual --preferred-challenges dns

2. 根据提示更新DNS TXT记录
3. 等待验证通过后，新证书会自动生成
4. 将新证书传输到服务器并重新加载配置

6.3 自动化续期方案

虽然本文介绍的是手动方式，但实际生产环境建议自动化：

1. 编写续期脚本，包含：

   • Certbot续期命令
   • DNS API调用更新TXT记录
   • 证书文件同步到服务器
   • 服务重载命令

2. 设置cron定时任务：

bash复制0 3 * * * /path/to/renew_script.sh

3. 配置日志监控和告警

7. 关键知识点解析

7.1 DNS记录类型与作用

7.2 HTTPS工作原理

HTTPS = HTTP + SSL/TLS，提供：

1. 加密传输：防止窃听
2. 身份认证：防止中间人攻击
3. 完整性保护：防止篡改

握手过程：

1. 客户端发送ClientHello
2. 服务端返回ServerHello和证书
3. 客户端验证证书
4. 密钥交换
5. 加密通信建立

7.3 证书链验证

浏览器验证证书的流程：

1. 检查证书是否过期
2. 检查证书中的域名是否匹配
3. 检查颁发机构是否受信任
4. 验证证书链完整性
5. 检查CRL/OCSP吊销状态

8. 常见问题与解决方案

8.1 DNS验证失败

可能原因：

1. TXT记录未正确添加
2. DNS传播延迟
3. 记录值输入错误

解决方法：

1. 使用dig TXT _acme-challenge.example.com验证记录
2. 等待更长时间（最长可能需几小时）
3. 仔细核对记录值

8.2 证书不生效

可能原因：

1. 证书未正确上传
2. 私钥不匹配
3. Nginx配置未重载

解决方法：

1. 检查证书文件内容是否正确
2. 使用openssl x509 -noout -modulus -in cert.pem和openssl rsa -noout -modulus -in privkey.pem检查密钥是否匹配
3. 执行nginx -s reload重载配置

8.3 续期失败

可能原因：

1. 证书未到期前尝试续期
2. DNS记录未及时更新
3. Certbot配置问题

解决方法：

1. 证书到期前30天内才能续期
2. 确保DNS记录更新流程正确
3. 检查/etc/letsencrypt/renewal/目录下的配置文件

9. 安全最佳实践

1. 私钥保护：

   • 权限设置为600
   • 不在多台服务器重复使用
   • 不通过不安全渠道传输

2. 证书管理：

   • 建立证书清单和到期日历
   • 设置自动监控和告警
   • 保留历史证书备份

3. 服务器配置：

   • 使用强加密套件
   • 启用HSTS
   • 禁用不安全的协议版本（SSLv3, TLS 1.0等）

10. 经验总结与建议

在实际操作中，我总结了以下几点经验：

1. 对于新手来说，DNS验证虽然步骤多，但比HTTP验证更可靠，特别是对于通配符证书

2. 在虚拟机中操作可以提供安全的实验环境，避免影响生产系统

3. 证书文件传输务必使用加密通道，SCP/SFTP比FTP更安全

4. 虽然手动操作繁琐，但理解每个步骤的原理对排查问题很有帮助

5. 生产环境建议最终过渡到自动化方案，如使用DNS API自动更新TXT记录

这套方案虽然看起来有些"绕"，但对于不熟悉服务器命令行操作的运维新手来说，提供了一种相对安全可靠的证书管理方式。随着经验积累，可以逐步过渡到更高效的自动化方案。