上周帮朋友排查一个线上故障，折腾两小时Zui后发现——证书过期了。就这么简单又离谱的原因。客户打不开页面浏览器直接甩一个 NET::ERR_CERT_DATE_INVALID，朋友还以为是 DNS 出了问题，查了半天。

说实话，这种事以后会越来越频繁。CA/B Forum 去年通过了 Ballot SC-，证书有效期会一路缩：90 天 → 60 天→ 45 天。到 2030 年，一个半月不续就挂。你管 10 台机器可Neng还Neng记住管 100 台呢？靠人肉轮巡？不现实。

证书拿到了怎么自动续？Certbot 的 renew 命令会扫描所有本地证书，距离过期 30 天内的自动续。

# 安装 sudo snap install certbot --classic # 一条命令搞定申请 sudo certbot certonly --nginx \ -d example.com \ -d www.example.com \ --email \ --agree-tos

装完kan一眼证书状态：

sudo certbot certificates # Certificate Name: example.com # Domains: example.com www.example.com # Expiry Date: -- # Certificate Path: /etc/letsencrypt/live/example.com/fullchain.pem # Private Key Path: /etc/letsencrypt/live/example.com/privkey.pem Webroot 模式

有些同事的 Nginx 配置比较复杂，不想让 Certbot 自动改配置文件。这时候用 Webroot 模式，自己加一段 location 就行：

server { listen 80; server_name example.com; location /.well-known/acme-challenge/ { root /var/www/certbot; } }

然后跑：

sudo certbot certonly --webroot \ -w /var/www/certbot \ -d example.com \ -d www.example.com \ --email \ --agree-tos Standalone 模式

Certbot 自己起一个 Web 服务器来验证，但它得占 端口，意味着你得先停掉 Nginx。生产环境别用这个Zuo续期，适合新机器初次部署还没装 Web 服务器的场景。

sudo systemctl stop nginx sudo certbot certonly --standalone \ -d example.com \ --email \ --agree-tos sudo systemctl start nginx

害，回想起刚开始用 Certbot 的那阵子，还在用 --post-hook，结果每天凌晨 cron 触发dou会 reload Nginx，日志里全是无意义的 reload 记录。多张证书的时候geng烦，一次 renew 跑完会 reload 好几次。改成 --deploy-hook 后世界清净了。

# 先跑一遍 dry-run，确认流程没问题 sudo certbot renew --dry-run # 写 cron，每天凌晨 : 跑一次 echo "0 0 * * * root certbot renew --quiet --deploy-hook 'systemctl reload nginx'" \ | sudo tee /etc/cron.d/certbot-renew 监控兜底：别光靠自动化

自动化Zuo好了不代表Ke以完全放手。万一哪天 Let's Encrypt 服务端抽风、DNS 解析出了问题、安全组把 端口关了续期就会失败。加一层监控兜底：写个小脚本定期检查证书过期时间，快到期 SNS 发个告警。

import ssl, socket, datetime, boto3 def check_cert: ctx = ssl.create_default_context with ctx.wrap_socket, server_hostname=domain) as s: s.settimeout s.connect) cert = s.getpeercert expiry = datetime.datetime.strptime return ).days def lambda_handler: for domain in : days = check_cert if days <: boto3.client.publish( TopicArn='arn:aws:sns:us-east-::cert-alerts', Message=f'{domain} 证书还剩 {days} 天请检查续期是否正常' )

用 EventBridge 每天触发一次这个 Lambda 就行。30 天阈值给了你两周的缓冲来人工干预。

在亚马逊云科技上搞 TLS，第一步是想清楚你属于哪种架构：流量收拢到 ALB？EC2 上自签？还是 K8s 环境？不同场景有不同解法。

思路一：流量收拢到 ALB。TLS 终止在负载均衡器，后端 EC2 只跑 HTTP。新服务强烈推荐这么干，直接用 AWS Certificate Manager，证书免费、自动续期、零配置。

思路二：SSM批量推送,单机 Certbot 配一次就好，但Ru果你有十几台 EC2呢？一台台 SSH过去配置不现实。用 AWS Systems Manager Run Command 一次搞定所有机器:

aws ssm send-command \ --targets "Key=tag:Role,Values=webserver" --document-name "AWS-RunShellScript" --parameters 'commands='

EKS 用cert-manager.K8s 环境下声明一个ClusterIssuer.整个过程全自动。

Ru果客户使用亚马逊云科技的ACM服务,则AWS证书,到期geng新Ke以AWS自动化进行无需客户手动操作,.缩短有效期的核心目的有三提升可信度.缩小因AWS证书盗用,,或错误签发带来的风险窗口倒逼行业全面推进AWS自动化管理,.当有效期降至天后每年至少需geng新次以上,AWS手动操作将完全不可持续.

AWS中国区资源成本优化全面指南从理论到实践13646AzureOpenAIgpt和AWS Secrets Manager构建智Neng对话系统9467Kubernetes监控完全指南PromQL通用查询与Zui佳实践8554AWSBedrockClaudeAPI的完整指南8341分类专栏安全付费篇运维与云原生付费1147篇开发与AI付费457篇上一篇渗透测试必知信息收集全攻略开启黑客透视眼下一篇普通人轻松上手DeepSeek提示语技巧全解析大家在kan干货有效推动品牌与创作者合作的个策略私域邦网络推三返一系统YOLOv训练RDD道路瑕疵数据集333别让智Neng变失控如何搭...