Certbot 是 Let’s Encrypt 官方推荐的开源证书管理工具，专为裸机服务器（CentOS、Ubuntu 等）设计，可全自动完成 SSL 证书的申请、配置、部署与续签，完美解决网站 HTTPS 加密需求。

• 无需手动购买证书、无需手动配置、无需定期更新
• 证书有效期 90 天，支持无人值守自动续签
• 兼容 Nginx/Apache/ 自定义服务，一键集成 Web 服务器

自动签发 SSL 证书支持单域名、多域名证书签发，自动完成域名所有权验证。

自动配置 Web 服务器一键修改 Nginx 配置，自动开启 HTTPS、强制 HTTP 跳转 HTTPS。

全自动证书续签（核心）系统后台定时任务自动运行，证书到期前 30 天自动续签，续签后自动重启 Nginx 生效。

全球信任签发的证书兼容所有浏览器、操作系统、移动端，无安全警告。

永久免费无任何使用成本，无域名数量限制，适合生产 / 测试环境。

一、安装snapd

官方早已弃用 yum 安装 Certbot
直接用官方唯一推荐的 Snapd 方式安装最新版 Certbot

# 安装EPEL源（已装可跳过）
yum install -y epel-release
# 安装snapd
yum install -y snapd
# 启动snapd服务
systemctl enable --now snapd.socket
# 创建软链接
ln -s /var/lib/snapd/snap /snap

二、用 Snap 安装最新版 Certbot

# 安装core依赖
snap install core
snap refresh core
# 安装最新certbot
snap install --classic certbot
# 链接命令到系统全局
ln -s /snap/bin/certbot /usr/bin/certbot

三、签发证书（以nginx为例）

certbot --nginx -d xxx.com -d www.xxx.com

输入email，确认协议

四、自动续签

1.工作模式

Certbot 安装后自动创建系统定时任务，无需人工干预：

• 定时器（certbot-renew.timer）：每天自动执行 2 次，检查证书状态
• 续签服务（certbot-renew.service）：执行续签命令 certbot renew
• 续签规则：证书到期 ≤30 天 自动续签
• 生效方式：续签完成后自动重启 Nginx，HTTPS 无缝切换

2.验证自动续签

certbot renew --dry-run

出现 Congratulations 就代表自动续签功能正常

3.查看定时任务状态

systemctl list-timers | grep certbot

五、证书默认存储路径

/etc/letsencrypt/live/xxx.com/

核心文件：

• fullchain.pem：证书公钥
• privkey.pem：证书私钥

在nginx的配置文件也能看到certbot已经将我们的nginx配置文件的证书路径更改