那天早上，我正端着咖啡，习惯性地扫了一眼监控面板，突然发现一台跑在亚马逊云科技 EC2 上的 Nginx 服务 SSL 警告弹窗。心里咯噔一下：这证书不是配置了 Let's Encrypt 的自动续期吗？怎么还有 47 天就过期了？难道是 Certbot 偷懒，还是我哪里配置错了？相信不少在 EC2 上自建服务的运维朋友，dou遇到过这种让人摸不着头脑的情况。毕竟Ru果你用的是 ALB 或者 CloudFront，AWS 的 ACM 证书早就帮你把续期的事儿办得妥妥当当，完全不用操心。但偏偏是这种“裸奔”在 EC2 实例上的 Nginx，稍微不注意，就会让你在半夜收到告警短信。

其实这事儿真不Neng全怪 Certbot。现在的行业趋势就是这样，CA/Browser Forum 早就通过了决议，SSL/TLS 证书的有效期正在一步步缩短。以前那种一年甚至两年才管一次证书的日子，一去不复返了。现在的证书有效期普遍被压缩到了 90 天甚至未来可Nenggeng短。这意味着什么？意味着你一年至少得手动折腾四次续期。Ru果不搞自动化，光是手动申请、下载、配置、重启服务，就Neng把人逼疯。所以今天咱们就来好好聊聊，在 EC2 这种环境下到底怎么把 Certbot 的自动续期玩明白，别再等到证书过期那天才手忙脚乱。

咱们得搞清楚 Certbot 的工作原理。Let's Encrypt 发行的证书，寿命只有短短的 90 天。这倒不是他们想多赚你的流量，而是为了安全考虑，缩短有效期Ke以降低证书泄露后的风险。Certbot 这个工具，就是专门用来对付这种频繁geng换的麻烦的。它通常会在后台挂着一个 systemd 计时器，或者利用老派的 cron 脚本，每天自动检查两次证书状态。一旦发现证书快过期了它就会尝试自动续期。

那为什么你会kan到“47天就过期”的警告，却没kan到它自动续期呢？原因可Neng五花八门。Zui常见的一种情况是：你的域名解析虽然指向了这台 EC2，但是安全组或者防火墙把 80 端口给封了。Let's Encrypt 的验证机制非常严格，它需要通过 80 端口来验证你对域名的控制权。Ru果你为了安全，把所有 HTTP流量dou强制跳转到了 HTTPS，或者干脆在安全组层面拒绝了 80 端口的入站流量，那 Certbot 在续期的时候，验证请求发过来要么被重定向，要么直接丢包，续期自然就失败了。这种“隐形”的失败，往往不会第一时间报错，直到你发现证书快过期了才去查日志，一kan全是 404 或者 Connection Refused。

在 EC2 上用 Certbot，其实有几种不同的姿势。每种姿势dou有它的优缺点，选错了姿势，轻则续期麻烦，重则导致服务短暂中断。咱们一个个来拆解。

这是我Zui推荐的方式，特别是对于那些Yi经在 EC2 上跑好了 Nginx 的同学。这种方式简直是“一把梭”的典范。你只需要执行一条简单的命令，Certbot 就会自动修改你的 Nginx 配置文件，帮你搞定验证、下载证书，甚至还会自动配置 SSL 参数，Zui后 reload 服务。

sudo certbot --nginx -d yourdomain.com

这命令一敲，你就等着它提示成功就行了。后续的续期也极其简单，`certbot renew` 命令会自动识别之前的配置，悄无声息地把新证书换上。这种模式Zui大的好处就是“零停机”和“低复杂度”。它不需要你停止 Nginx，也不需要你手动去折腾什么 Webroot 路径。对于大部分生产环境来说这是Zui稳妥的方案。

Ru果你是个对配置文件有洁癖的人，不喜欢 Certbot 自动乱改你的 Nginx 配置，那 Webroot 模式可Nenggeng适合你。这种模式下Certbot 不会去动你的 Nginx，它只是需要在你的网站根目录下生成一个临时的验证文件。

核心的配置思路，就是给 ACME 的验证路径开个“后门”。你需要在 Nginx 的配置里加一段 location，确保访问 `/.well-known/acme-challenge/` 这个路径时Neng直接读到文件，而不要被重定向到 HTTPS 或者其他地方。

server {
    listen 80;
    server_name yourdomain.com;
    location /.well-known/acme-challenge/ {
        root /usr/share/nginx/html;
    }
    location / {
        return 301 https://$host$request_uri;
    }
}

配置好这个之后你就Ke以用下面的命令来申请证书了：

sudo certbot certonly --webroot -w /usr/share/nginx/html -d yourdomain.com

这种方式也是零停机的，因为它不需要重启 Nginx。但是它要求你对 Nginx 的配置逻辑比较清晰，特别是那个 location 的匹配规则，一旦写错，验证就会失败。我就曾经踩过这个坑，当时为了追求全站 HTTPS，把 80 端口的所有请求dou无脑 301 转发了结果 Certbot 验证的时候也被转走了导致申请失败，排查了半个小时才恍然大悟。

还有一种模式叫 Standalone，顾名思义，就是 Certbot 自己临时起一个内置的小 Web 服务器来监听 80 端口进行验证。

sudo systemctl stop nginx
sudo certbot certonly --standalone -d yourdomain.com
sudo systemctl start nginx

kan到这串命令，你应该就Neng明白它的缺点了：为了验证，你必须先把你正在运行的 Nginx 停掉！这意味着在续期的这几秒到几十秒内，你的网站是彻底不可访问的。对于开发环境或者测试环境，这倒也没什么大不了的。但在生产环境，为了续个期搞停机，这绝对是不可接受的。所以除非你实在没办法，否则别在生产环境用这个模式。

证书申请下来了怎么保证它一直有效呢？这就得靠自动化任务了。现在的 Linux 发行版，安装 Certbot 的时候通常会自动帮你生成一个 systemd 的 timer。你Ke以用下面这个命令检查一下：

sudo systemctl list-timers | grep certbot

Ru果没kan到，或者你习惯用 cron，那也Ke以手动加一条。这里有个细节特别重要：hen多人只写了 `certbot renew`，结果证书虽然续下来了但 Nginx 还在用旧的证书，导致网站依然提示过期。这是因为 Certbot 续期成功后默认并不会去重启你的 Web 服务。

所以你必须在命令里加上 `--renew-hook` 参数，告诉它在续期成功后把 Nginx 重启一下或者 reload 一下配置。

0 0 * * * /usr/bin/certbot renew --quiet --renew-hook "systemctl reload nginx"

或者Ru果你用的是老版本的 init 脚本：

0 */12 * * * certbot renew --quiet --renew-hook /etc/init.d/nginx reload

加上这个钩子，才算真正实现了“全自动”。不然的话，你kan着日志里写着“Congratulations, all renewals succeeded”，结果浏览器上还是红叉，那种心情真是欲哭无泪。

说到这里可Neng有同学会问：“Let's Encrypt 虽好，但毕竟是免费证书，有些企业级场景还是得用 DigiCert 这种商业证书啊，那是不是就得手动续了？”

其实不然。现在hen多商业 CA 机构也开始支持 ACME 协议了。比如 DigiCert，只要你开通了相应的功Neng，同样Ke以用 Certbot 来自动续期。只不过在注册和申请的时候，你需要指定 DigiCert 的 ACME 服务器地址，并且提供他们给你的 Key ID 和 HMAC Key。

sudo certbot register \
  --server "https://acme.digicert.com/v2/acme/directory/" \
  --eab-kid "YOUR_KID" --eab-hmac-key "YOUR_KEY" \
  --email  --agree-tos
sudo certbot --nginx \
  --server "https://acme.digicert.com/v2/acme/directory/" \
  -d yourdomain.com

这意味着，哪怕是付费的商业证书，我们也Ke以摆脱手动上传、下载的繁琐流程，享受和 Let's Encrypt 一样的自动化体验。这对于那些既需要商业证书信任度，又想减少运维成本的项目来说简直是福音。

回到Zui开始的问题，为什么你的证书 47 天就过期了？大概率是因为自动续期的某个环节出了岔子——可Neng是 80 端口不通，可Neng是忘了加 `--renew-hook`，也可Neng是用了错误的验证模式。

在 AWS 上搞运维，Neng省心的时候尽量省心。Ru果你的架构允许，直接用 ALB/CloudFront 配合 ACM，那是真的“躺平”式管理。但Ru果你必须要在 EC2 上自建 Nginx，那就老老实实把 Certbot 的自动续期机制搞透。Neng用 Nginx 插件就别用 Standalone，Neng开 Systemd 就别依赖手动执行。千万别等到证书有效期真的归零了网站打不开了才想起来去敲 `certbot renew --force-renewal`。那时候，损失的就不只是一杯咖啡的心情了。

Zui后建议大家现自动化才是唯一的出路。