Linux香港服务器Nginx配置Let’s Encrypt SSL：自动续期教程

在网络安全要求不断提升的当下，为网站启用HTTPS加密已成为基础配置。Let’s Encrypt作为全球广泛使用的免费SSL证书服务，配合Nginx服务器，能为Linux香港服务器上的网站提供高效的安全防护。本文将手把手教你完成证书申请、Nginx配置及自动续期操作。

前置准备事项

开始前需确认以下条件已满足：
1. 拥有一台运行Linux系统的香港服务器（推荐Ubuntu/Debian等主流发行版），且已正确安装Nginx服务；
2. 目标域名已完成DNS解析，能正常指向香港服务器公网IP；
3. 服务器网络畅通，可正常访问Let’s Encrypt官方验证接口。

安装Certbot工具

Certbot是Let’s Encrypt官方推荐的证书管理工具，负责证书申请、续期等操作。以Ubuntu系统为例，安装命令如下：
```bash
sudo apt update && sudo apt install -y certbot python3-certbot-nginx
```
其他Linux发行版（如CentOS）可通过`yum`或`dnf`包管理器安装，具体命令可参考Certbot官网文档。

配置Nginx基础站点

在申请证书前，需确保Nginx已正确配置域名解析。打开站点配置文件（路径通常为`/etc/nginx/sites-available/your_domain`）：
```bash
sudo nano /etc/nginx/sites-available/your_domain
```
确认配置文件包含以下内容（需替换`your_domain.com`为实际域名）：
```nginx
server {
listen 80;
server_name your_domain.com www.your_domain.com;
root /var/www/your_domain;
index index.html index.htm;
}
```
保存后检查配置语法：
```bash
sudo nginx -t
```
提示`success`后重载Nginx生效：
```bash
sudo systemctl reload nginx
```

申请Let’s Encrypt证书

执行Certbot命令自动申请证书（需替换`your_domain.com`为实际域名）：
```bash
sudo certbot --nginx -d your_domain.com -d www.your_domain.com
```
根据提示输入管理员邮箱（用于接收证书过期提醒），并同意服务条款。Certbot会自动完成以下操作：
- 验证域名所有权（通过Nginx响应Let’s Encrypt的HTTP-01挑战）；
- 生成SSL证书文件（存储于`/etc/letsencrypt/live/your_domain.com/`目录）；
- 自动修改Nginx配置，将80端口请求重定向至443端口HTTPS。

验证证书生效

证书申请成功后，通过浏览器访问`https://your_domain.com`。若地址栏出现锁形图标，且URL前缀显示`https`，则表示HTTPS配置成功。可通过SSL Labs（ssllabs.com/ssltest）等工具进一步检测证书有效性。

设置自动续期机制

Let’s Encrypt证书有效期为90天，需定期续期。Certbot内置自动续期功能，通过系统定时任务实现：
```bash
sudo crontab -e
```
在文件末尾添加以下任务（每天凌晨2点检查续期）：
```
0 2 * * * /usr/bin/certbot renew --quiet --deploy-hook "/usr/sbin/service nginx reload"
```
`--quiet`参数表示静默执行，`--deploy-hook`指定续期成功后自动重载Nginx配置。保存后定时任务生效，证书将在到期前30天自动续期。

通过以上步骤，你已为Linux香港服务器上的Nginx站点完成了Let’s Encrypt SSL证书的全流程配置。从基础环境准备到自动续期设置，每个环节都围绕稳定性与安全性设计，既能满足现代网站的加密需求，又能降低后期维护成本。