Certbot跨平台部署：在Linux、Windows和macOS上的安装与配置

Certbot跨平台部署：在Linux、Windows和macOS上的安装与配置

【免费下载链接】certbot Certbot is EFF's tool to obtain certs from Let's Encrypt and (optionally) auto-enable HTTPS on your server. It can also act as a client for any other CA that uses the ACME protocol. 项目地址: https://gitcode.com/gh_mirrors/ce/certbot

Certbot是EFF（电子前哨基金会）开发的一款工具，用于从Let's Encrypt获取证书并（可选地）在服务器上自动启用HTTPS。它还可以作为任何其他使用ACME（Automated Certificate Management Environment，自动化证书管理环境）协议的证书颁发机构（CA）的客户端。本文将详细介绍如何在Linux、Windows和macOS这三种主流操作系统上安装和配置Certbot，帮助用户轻松实现网站的HTTPS加密。

系统要求

在开始安装Certbot之前，需要确保您的系统满足以下基本要求：

• 操作系统：支持Linux、macOS、BSD和Windows系统。
• 权限要求：在Linux/BSD系统上推荐具有root权限，在Windows系统上需要管理员权限，以便Certbot能够自动配置Web服务器。
• 端口开放：需要开放80端口，这是Let's Encrypt进行域名验证（HTTP-01挑战）所必需的。

注意：Certbot最适合直接在Web服务器上运行，通常由系统管理员操作。在大多数情况下，在个人计算机上运行Certbot并不是一个有用的选择。本文中的说明涉及在服务器上安装和运行Certbot。更多系统要求细节可参考官方安装文档。

Linux系统安装与配置

Linux是Certbot支持最完善的操作系统之一，提供了多种安装方式，用户可以根据自己的Linux发行版选择最合适的方法。

Snap安装（推荐）

Snap是一种跨发行版的软件包管理系统，Certbot官方推荐使用Snap来安装，因为它能确保您获得最新版本的Certbot，并预配置了自动证书续期等功能。

大多数现代Linux发行版（基本上任何使用systemd的发行版）都可以安装作为Snap包的Certbot。Snap适用于x86_64、ARMv7和ARMv8架构。

安装步骤如下：

1. 确保您的系统已安装Snapd。如果没有，可以按照Snap官方安装指南进行安装。
2. 安装Certbot Snap包：

   sudo snap install --classic certbot
   

3. 创建符号链接，使Certbot命令可在系统路径中访问：

   sudo ln -s /snap/bin/certbot /usr/bin/certbot
   

安装完成后，您可以通过运行certbot --version来验证安装是否成功。

Docker安装

Docker是一种轻量级的容器化技术，使用Docker安装Certbot可以避免对系统环境造成干扰，尤其适合那些不希望在主机系统上安装额外软件的用户。

注意：Docker模式下，Certbot无法安装证书或配置Web服务器，因为安装器插件无法从Docker容器内部访问主机上的Web服务器。如果您需要自动配置Web服务器，建议使用其他安装方式。

使用Docker安装Certbot的步骤如下：

1. 首先，确保您的系统已安装Docker。可以参考Docker官方安装文档进行安装。
2. 运行以下命令获取证书（以certonly模式为例，仅获取证书不安装）：

   sudo docker run -it --rm --name certbot \
     -v "/etc/letsencrypt:/etc/letsencrypt" \
     -v "/var/lib/letsencrypt:/var/lib/letsencrypt" \
     certbot/certbot certonly
   

   这个命令会启动一个Certbot容器，将主机的/etc/letsencrypt和/var/lib/letsencrypt目录挂载到容器中，以便证书可以持久化存储在主机上。

如果您需要使用DNS插件进行域名验证（例如获取通配符证书），可以使用相应的DNS插件Docker镜像。例如，使用DNS API插件：

sudo docker run -it --rm --name certbot \
  -v "/etc/letsencrypt:/etc/letsencrypt" \
  -v "/var/lib/letsencrypt:/var/lib/letsencrypt" \
  -v "/path/to/credentials.ini:/credentials.ini" \
  certbot/certbot certonly --dns-api --dns-api-credentials /credentials.ini -d example.com -d *.example.com

其中/path/to/credentials.ini是包含API凭据的配置文件路径。更多关于DNS插件的使用可以参考DNS插件文档。

包管理器安装

许多Linux发行版的官方软件仓库中都包含了Certbot包，虽然版本可能不是最新，但对于追求系统稳定性的用户来说是一个不错的选择。

以下是一些常见Linux发行版的包管理器安装命令：

• Debian/Ubuntu：

  sudo apt-get update
  sudo apt-get install certbot python3-certbot-apache  # 如果你使用Apache服务器
  # 或者
  sudo apt-get install certbot python3-certbot-nginx   # 如果你使用Nginx服务器
  

• CentOS/RHEL：

  sudo yum install certbot python3-certbot-apache  # Apache服务器
  # 或者
  sudo yum install certbot python3-certbot-nginx   # Nginx服务器
  

• Fedora：

  sudo dnf install certbot python3-certbot-apache  # Apache服务器
  # 或者
  sudo dnf install certbot python3-certbot-nginx   # Nginx服务器
  

安装完成后，同样可以通过certbot --version命令验证安装。

配置与使用

安装完成后，配置Certbot以获取和安装证书非常简单。根据您使用的Web服务器，可以运行相应的命令：

• Apache服务器：

  sudo certbot --apache
  

  该命令会自动获取证书并配置Apache服务器以启用HTTPS。

• Nginx服务器：

  sudo certbot --nginx
  

  类似地，该命令会自动配置Nginx服务器。

• 无Web服务器（Standalone模式）： 如果您的服务器上没有运行Web服务器，或者不希望使用现有Web服务器进行验证，可以使用Standalone模式，Certbot会临时启动一个小型Web服务器来完成域名验证：

  sudo certbot certonly --standalone -d example.com -d www.example.com
  

  注意：使用Standalone模式时，需要确保80端口没有被其他服务占用，可能需要暂时停止正在运行的Web服务器。

Certbot会自动设置证书续期任务，证书到期前会自动更新。您可以通过运行sudo certbot renew --dry-run来测试续期功能是否正常工作。

Windows系统安装与配置

虽然Certbot在Windows上的支持相对Linux来说稍逊一筹，但官方仍然提供了安装包，使得Windows用户也能方便地使用Certbot来管理SSL证书。

安装Certbot

Certbot官方提供了Windows安装程序，用户可以按照以下步骤进行安装：

1. 访问Certbot的官方网站或相关可信来源，下载最新的Windows安装程序。注意，官方已不再发布测试版Windows安装程序，建议使用稳定版。
2. 运行下载的安装程序（例如certbot-installer-win_amd64.exe），并按照安装向导的指示进行操作。安装程序会自动处理Python环境和依赖项的安装。
3. 安装完成后，Certbot会被添加到系统路径中，您可以通过命令提示符（CMD）或PowerShell来运行Certbot命令。

历史更新：Certbot for Windows已升级到使用Python 3.9.11，并且Windows安装程序已进行签名，可在Windows系统中被信任。同时，官方已放弃对32位Windows系统的支持，仅提供64位安装程序。Windows用户在安装新版本前，建议先卸载旧版本。

配置与使用

在Windows系统上使用Certbot与在Linux上类似，但由于Windows的文件系统和命令行环境与Linux有所不同，部分操作需要注意。

获取证书

以Webroot模式为例，假设您的Web服务器（如IIS、Nginx for Windows等）的网站根目录为C:\inetpub\wwwroot，可以使用以下命令获取证书：

certbot certonly --webroot -w C:\inetpub\wwwroot -d example.com -d www.example.com

Certbot会在C:\inetpub\wwwroot\.well-known\acme-challenge目录下创建验证文件，Let's Encrypt的验证服务器会访问这些文件来确认您对域名的所有权。

Windows特殊处理：在Windows系统上，当使用Webroot插件时，如果.well-known/acme-challenge目录中不存在web.config文件，Certbot会自动生成一个，以允许IIS服务器提供没有文件扩展名的挑战文件，这对于成功完成验证非常重要。

证书存储位置

在Windows系统上，Certbot获取的证书默认存储在以下目录：

C:\Certbot\live\example.com\

其中包含cert.pem（证书）、chain.pem（证书链）、fullchain.pem（完整证书链）和privkey.pem（私钥）等文件。

配置Web服务器

获取证书后，您需要手动将证书配置到您的Web服务器中，因为Windows版Certbot的自动配置功能可能不如Linux版完善。

以IIS为例，配置步骤如下：

1. 打开IIS管理器。
2. 选择您的网站，双击“服务器证书”功能。
3. 点击“导入”，浏览到Certbot存储证书的目录（如C:\Certbot\live\example.com\），选择fullchain.pem作为证书文件，privkey.pem作为私钥文件，并按照提示完成导入。
4. 返回到网站主页，双击“绑定”功能。
5. 点击“添加”，类型选择“https”，端口默认443，SSL证书选择刚刚导入的证书，点击“确定”完成配置。

对于Nginx for Windows或Apache for Windows，您需要手动编辑其配置文件，指定证书和私钥的路径，类似Linux系统中的配置方式，但文件路径格式需要改为Windows风格（例如C:/Certbot/live/example.com/fullchain.pem）。

证书续期

Certbot在Windows系统上也会尝试设置自动续期任务。在较新版本中，Windows上的钩子（hooks）现在在Powershell shell中执行，而不是CMD shell，这可能会影响续期脚本的编写。

您可以通过运行以下命令来测试续期功能：

certbot renew --dry-run

如果自动续期没有正常工作，您可能需要手动创建任务计划程序任务，定期运行certbot renew命令。

macOS系统安装与配置

macOS用户可以通过包管理器（如Homebrew）或源码编译的方式安装Certbot。不过需要注意的是，官方已在某些版本中弃用了在macOS上通过certbot-auto脚本进行安装的方式。

安装Certbot

Homebrew安装

Homebrew是macOS上非常流行的包管理器，使用它可以轻松安装Certbot：

1. 如果您尚未安装Homebrew，可以打开终端并运行以下命令进行安装：

   /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
   

2. 安装Certbot：

   brew install certbot
   

安装完成后，Certbot命令会被添加到系统路径中，您可以直接在终端中运行certbot命令。

Pip安装（不推荐，仅作参考）

虽然官方不推荐在macOS上通过Pip安装Certbot，仅提供尽力支持，但如果您熟悉Python环境管理，也可以使用虚拟环境进行安装：

1. 创建并激活Python虚拟环境：

   python3 -m venv certbot-env
   source certbot-env/bin/activate
   

2. 使用Pip安装Certbot：

   pip install certbot
   

这种方式需要用户自行管理依赖和虚拟环境，对于普通用户来说不如Homebrew方便。

配置与使用

macOS上Certbot的使用方法与Linux类似，可以根据Web服务器类型选择相应的插件。

例如，如果在macOS上运行Apache服务器，可以使用--apache插件：

sudo certbot --apache

如果是Nginx服务器，则使用--nginx插件：

sudo certbot --nginx

对于本地开发环境或没有Web服务器的情况，也可以使用Standalone模式：

sudo certbot certonly --standalone -d example.com

证书默认存储在/etc/letsencrypt/live/目录下（macOS的文件系统结构与Linux类似）。

Certbot在macOS上也可以设置自动续期，通常通过cron任务或launchd服务来实现。您可以参考Certbot的官方文档或相关macOS系统管理指南来配置自动续期。

常见问题与解决方案

在不同平台上安装和使用Certbot的过程中，可能会遇到一些常见问题，以下列举部分问题及相应的解决方法。

权限问题

• Linux：如果在运行Certbot命令时遇到权限错误，确保使用sudo以管理员权限运行命令。
• Windows：确保以管理员身份运行命令提示符或PowerShell。右键点击程序图标，选择“以管理员身份运行”。

端口占用问题

在使用Standalone模式或Web服务器插件时，如果80端口被其他服务占用，会导致Certbot无法完成域名验证。解决方法：

• 找出占用80端口的进程并暂时停止它。
• 在Linux上可以使用netstat -tulpn | grep :80或lsof -i :80命令查找占用进程。
• 在Windows上可以使用netstat -ano | findstr :80命令，然后通过任务管理器结束相应进程。

证书续期失败

如果证书续期失败，可能的原因包括：

• 网络问题：确保服务器可以正常访问Let's Encrypt的API端点。
• 权限问题：Certbot需要有足够的权限读取和写入证书目录。
• 配置变更：如果Web服务器配置已更改，可能导致续期时的验证失败。

可以通过运行certbot renew --debug来获取详细的调试信息，帮助定位问题。

Windows系统Web.config问题

在Windows系统上使用Webroot模式时，如果IIS无法提供挑战文件，可能是因为缺少web.config文件。Certbot会尝试在/.well-known/acme-challenge目录下自动生成web.config文件，以允许IIS提供没有扩展名的文件。如果自动生成失败，您可以手动创建该文件，内容如下：

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <staticContent>
            <mimeMap fileExtension="." mimeType="text/plain" />
        </staticContent>
    </system.webServer>
</configuration>

总结

Certbot作为一款强大的ACME客户端工具，能够在Linux、Windows和macOS等多种操作系统上帮助用户轻松获取和管理Let's Encrypt的免费SSL证书。通过本文介绍的安装和配置方法，不同平台的用户都可以根据自己的需求选择合适的方式来部署Certbot，实现网站的HTTPS加密。

无论您是Linux服务器管理员、Windows桌面用户还是macOS开发者，Certbot都提供了相应的解决方案。虽然各平台在安装细节和某些功能支持上略有差异，但核心的证书管理功能是一致的。希望本文能够帮助您顺利在目标平台上部署和使用Certbot，为您的网站提供安全的HTTPS访问。

更多关于Certbot的详细文档和最新信息，请参考项目的官方文档，如使用指南和安装文档。

【免费下载链接】certbot Certbot is EFF's tool to obtain certs from Let's Encrypt and (optionally) auto-enable HTTPS on your server. It can also act as a client for any other CA that uses the ACME protocol. 项目地址: https://gitcode.com/gh_mirrors/ce/certbot