【導讀】SSL免費證書申請流程不是點幾下鼠標就完事的魔法咒語。它是一條嚴謹的技術流水線：從前端域名控制權驗證，到私鑰安全管理，再到服務端熱加載生效——漏掉任何一個齒輪，整條鏈都會脫節。

第一步：確認你符合條件——別在門口就被擋回來
不是所有網站都能直接走免費路線。先自查這三項硬門檻：

- 域名已完成實名認證（國內注冊商要求ICANN/WIPO備案信息一致）；
- 你能實際控制該域名DNS解析權限（阿里云/騰訊云后臺可操作）；
- 服務器支持TLSv1.2及以上協議（CentOS 7+/Ubuntu 18.04+默認滿足）。
?? 特別注意：Let’s Encrypt等主流平臺不支持純IP地址、內網域名（如local.dev）、或未備案的.cn域名申請。若不符合，請轉向國產合規CA平臺。

第二步：生成合規CSR——90%的手動失誤發生在這里
CSR（Certificate Signing Request）是你遞給CA的“加密委托書”，格式錯誤＝白忙活：

使用OpenSSL命令生成時，Common Name必須填你要保護的精確主機名, 如 www.example.com（不能寫 example.com 或 *.example.com）；
密鑰長度不低于2048bit（推薦3072），算法選 RSA 或 ECDSA（secp384r1）；
Country Code務必為兩位大寫ISO標準碼（CN代表中國），State/Locality字段不可為空；
導出前執行 openssl req -text -noout -in domain.csr 核對內容是否完整無誤。
?? 絕對禁忌：用在線工具生成CSR！私鑰一旦離開本地環境，HTTPS根基即被破壞。

第三步：完成域名驗證（DV必需動作）
目前僅兩種官方認可方式，擇一即可：

- DNS驗證：在域名DNS服務商處添加一條 _acme-challenge.yourdomain.com 的TXT記錄，值為系統生成的token；通常3–5分鐘后自動檢測通過；
- HTTP文件驗證：下載指定HTML文件，上傳至網站根目錄 /.well-known/pki-validation/ 下，確保可通過 http://yourdomain.com/.well-known/pki-validation/filename.html 直接訪問。
?? 溫馨提示：
? 若網站啟用CDN，請臨時關閉緩存或將該路徑設為“繞過緩存”；
? 驗證期間請勿更改NS記錄或關停Web服務；
? HTTP驗證路徑大小寫敏感，斜杠方向不可顛倒。

第四步：下載與部署——真正的臨門一腳
收到郵件后，請立即登錄CA平臺，在「我的證書」中下載ZIP包，內含：

? domain.crt（你的站點證書）
? ca_bundle.crt（中間證書鏈）
? install_guide.pdf（含Nginx/Apache/IIS詳細配置說明）
部署時牢記兩個黃金法則：

- Nginx中 ssl_certificate 必須指向合并后的fullchain.pem（即 crt + bundle 合并），順序錯則iOS設備白屏；
- 修改conf后務必執行 nginx -t && systemctl reload nginx（千萬別說 restart，會短暫中斷連接）。
? 驗證是否成功：打開瀏覽器開發者工具 → Security Tab → 查看Valid From/To及Certificates欄目是否完整展開。

最后提醒：免費≠永續，必須建立運維紀律
Let’s Encrypt證書有效期僅90天，逾期不續將導致全站HTTPS癱瘓：

- 設置提前30天/15天/7天三級郵件告警；
- 在日歷中標紅標注 renewal day 并設置循環提醒；
- 生產環境建議搭配 cron + certbot renew --quiet --post-hook 'systemctl reload nginx' 實現全自動滾動更新。
記住：SSL免費證書申請流程的價值，不在于省下了幾百元費用，而在于建立起一套可持續、可驗證、可審計的HTTPS基礎設施運作機制。