2026年腾讯云免费 SSL 证书申请新规与 Nginx/Apache 一键部署指南

cloud 2026-05-29 阅读 7
cloud

2024年中开始,全球主流 CA 机构(如 TrustAsia 等)对免费证书的策略进行了大调整,腾讯云也全面同步了这一新规。如果你还在用旧教程,或者以为免费证书能管一年,那绝对会踩坑。

本文不聊虚的,直接带你吃透 2026 年最新规则,并手把手教你把证书布置到 Nginx 和 Apache 服务器上。

核心变化:2026年免费 SSL 证书新规避坑指南

在动手前,必须先搞懂现在的规则,否则你的网站随时可能因为证书过期而“瘫痪”。

  1. 有效期全面缩短至 3 个月(90天):过去那种“一年一换”的红利彻底结束了。现在无论是新申请还是续期,单张免费证书的有效期只有 90 天。这意味着,一年内你至少需要操作 4 次证书更新。
  2. 账号总额度 50 张:不论个人还是企业账号,免费证书的上限额度调整为了 50 张。
  3. 取消域名绑定限制:好消息是,新规取消了“同一个主域名最多申请 20 张”的限制,现在你可以为任意子域名申请免费证书,不再受主域名额度束缚。
生存建议:由于 90 天的有效期极短,强烈建议在申请时勾选“自动续期”服务(如果云厂商控制台支持),或者在服务器端配置自动化更新脚本(如 Certbot),否则手动维护会让人抓狂。

第一阶段:腾讯云免费 SSL 证书申请

  1. 登录腾讯云控制台,在顶部搜索栏输入 “SSL 证书” 并进入。
  2. 点击 “申请免费证书”(通常在快捷入口或证书列表上方)。
  3. 填写申请表单:证书绑定域名:输入你的具体域名,例如 [www.yourdomain.com]  (https://www.yourdomain.com)   或根域名 yourdomain.com(注意:免费证书是单域名证书,不支持 *.yourdomain.com 这种泛域名)。
  4. 域名验证方式:首选 “自动DNS验证”。如果你的域名就在当前的腾讯云账号下托管,系统会自动帮你添加解析记录,几分钟就能自动签发,无需人工干预。
  5. 提交申请后,耐心等待 5~10 分钟。刷新列表,看到状态变为 “已签发”,点击右侧的 “下载”。
  6. 在弹出的下载页面中,根据你的服务器环境选择。我们这里分别下载 Nginx 和 Apache 的压缩包,解压到本地备用。

第二阶段:Nginx 环境一键部署 HTTPS

解压下载的 Nginx 证书压缩包,你会得到四个文件,我们只需要其中两个:yourdomain.com_bundle.crt

  • (证书文件)
  • yourdomain.com.key(私钥文件)

1. 上传证书

通过 SSH 工具(如 Xshell、Termius)连接服务器,在 Nginx 的配置目录下新建一个专门存放证书的文件夹:

Bash


mkdir -p /etc/nginx/ssl

将上述两个文件通过 SFTP 上传到该目录下。

2. 修改 Nginx 配置文件

找到你的网站配置文件(通常在 /etc/nginx/nginx.conf/etc/nginx/conf.d/ 下的某个 .conf 文件)。
server 块修改或添加为以下内容:

3. 测试并重启

在重载配置前,必须检查语法是否有误:

Bash


nginx -t

如果显示 syntax is oktest is successful,直接让配置生效:

Bash


nginx -s reload

第三阶段:Apache 环境一键部署 HTTPS

解压 Apache 的证书压缩包,你会得到三个文件:

  • yourdomain.com_bundle.crt(证书文件)
  • yourdomain.com.key(私钥文件)
  • yourdomain.com_chain.crt(证书链文件)

同样,在 Apache 配置目录下(如 /etc/httpd//etc/apache2/)新建 ssl 文件夹,并将这三个文件上传进去。

1. 开启 SSL 模块

如果是 Ubuntu/Debian 系统,执行:

Bash


sudo a2enmod ssl

如果是 CentOS 系统,需要安装模块:

Bash


sudo yum install mod_ssl

2. 修改 Apache 配置文件

找到 Apache 的 SSL 配置文件(通常是 /etc/httpd/conf.d/ssl.conf/etc/apache2/sites-available/default-ssl.conf),在 <VirtualHost _default_:443> 块中修改或添加以下路径:

<VirtualHost _default_:443>

   DocumentRoot "/var/www/html" # 你的网站根目录

   ServerName yourdomain.com:443 # 换成你的域名


   # 开启 SSL

   SSLEngine on


   # 配置证书三要素路径

   SSLCertificateFile /etc/httpd/ssl/yourdomain.com_bundle.crt

   SSLCertificateKeyFile /etc/httpd/ssl/yourdomain.com.key

   SSLCertificateChainFile /etc/httpd/ssl/yourdomain.com_chain.crt


   # 安全协议限制

   SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

   SSLCipherSuite HIGH:!aNULL:!MD5:!3DES

</VirtualHost>

3. 重启 Apache 服务

保存退出后,重启服务使配置生效:

  • CentOS: systemctl restart httpd
  • Ubuntu: systemctl restart apache2

第四阶段:上线验证与避坑检查

配置完成后,打开浏览器,直接输入 [https: //yourdomain.com] (http s://yourdomain.com)

  • 检查小绿锁:如果地址栏左侧出现了一把“安全锁”图标,说明 HTTPS 部署成功。
  • 检查证书信息:点击那把锁查看证书详情,你会发现它的有效期确实只有整整 90 天。
  • 检查安全组/防火墙:如果页面打不开,优先去腾讯云控制台的服务器安全组里检查,看看 443 端口 是否放行。如果云端放行了依然打不开,检查服务器本地的防火墙(如 iptables 或 ufw)是否阻断了 443 端口。

由于 90 天到期后证书会自动失效,建议你在手机日历里定一个 80 天后的闹钟,或者直接考虑使用市场上成熟的自动化部署脚本(如宝塔面板的一键续签,或通过 Acme.sh 脚本托管),彻底解放双手。


1
← 返回新闻中心