免费SSL证书申请：新手也能3分钟搞定的HTTPS升级指南

【导读】免费SSL证书申请并不神秘。只要你有一个已备案域名和一台正常运作的服务器，哪怕从未碰过Linux，照着步骤点几次鼠标就能完成HTTPS部署。

为什么要坚持做免费SSL证书申请？不只是为了那个小绿锁
谷歌早在2018年起就把HTTP网站标注为“不安全”，此后几乎所有主流浏览器都跟进此策略。更重要的是：

搜索引擎明显倾向HTTPS站点，在相同内容质量下更容易获得更好排名；
微信小程序、抖音小店等生态平台强制要求后端接口必须走HTTPS；
现代浏览器逐步禁用HTTP环境下地理位置、摄像头等敏感API调用权限。
换句话说，不做免费SSL证书申请，等于主动放弃一部分流量入口和功能完整性。

市面上靠谱的免费SSL证书来自哪儿？
目前全球范围内广泛认可、长期稳定运营的免费SSL证书发行方只有一个主力选手——Let’s Encrypt。它由Internet Security Research Group（ISRG）非营利组织运营，已被所有主流操作系统和浏览器预置信任根证书。

值得注意的是：没有所谓的“终身免费”或“无限次数申请”。Let’s Encrypt采用90天有效期+自动续签机制，既保障安全性，也倒逼用户建立规范化运维习惯。

哪种方式最适合普通人做免费SSL证书申请？
我们按技术门槛排序推荐三条路径：

建站系统内置型：如 WordPress.com、Zoho Sites、Webflow 等SAAS平台，注册即启用HTTPS，完全无需干预；
可视化面板集成型：宝塔/BT Panel、cPanel、Plesk均已深度整合Let’s Encrypt插件，只需勾选域名点击申请；
CLI命令行型：适用于自有VPS/Linux服务器用户，借助certbot/acme.sh工具一键签发，适合希望掌控底层逻辑的人群。
对于绝大多数个体站长而言，“第二类”是最优解——免编码、见效快、故障率低。

详细图文指引：以宝塔面板为例的免费SSL证书申请流程
假设你已经在阿里云/腾讯云买了ECS，并安装好了宝塔Linux面板：

第1步：登录宝塔后台 → 左侧导航栏点【网站】→ 找到你要加密的站点 → 点右边【设置】按钮；
第2步：顶部切到【SSL】页签 → 在左上方选择【Let’s Encrypt】→ 输入邮箱（用于接收到期提醒）；
第3步：下方勾选你的主域名（example.com）以及常用的www子域；
第4步：点击蓝色【申请】按钮 → 页面弹出绿色提示：“证书创建成功！”表示已完成。
接着你可以立即打开浏览器访问 https://example.com 测试效果。如有异常，请继续往下看排障章节。

在此处添加配图

为什么有时点了申请却一直卡住不动？常见原因速查表
尽管流程简化了很多，但仍有些细节能导致免费SSL证书申请失败：

DNS还未彻底生效：可在whatsmydns.net 查询A记录在全球各地是否已同步；
防火墙拦截了80端口请求：Let’s Encrypt验证阶段必需通过HTTP访问 /.well-known/acme-challenge/目录；
网站根目录权限不对：nginx/apache进程需对该路径有读取权，否则无法放置验证文件；
Certbot版本陈旧：部分老系统默认搭载v0.31以下版本，不支持新版ACME v2协议，建议手动升级。
这些问题几乎都可以通过刷新页面重试一次解决，实在不行就暂停CDN再试。

最后叮嘱一句：别忘了检查网页内的资源链接
就算证书顺利签发并启用，如果你网页中还有js/css/image是以http://开头引入的，浏览器依然会判定整页为“不安全”。可以在F12开发者工具Console栏目里一眼看出混杂内容警告。

终极检验办法：打开 Chrome 访问你的 HTTPS 地址 → 点地址栏左边的小锁图标 → 查看 “连接是安全的” 是否显示灰色✔️标志。如果是，恭喜你完成了这次免费SSL证书申请！

延伸问答
Q：我可以给自己局域网搭建的NAS服务也配上免费SSL证书吗？
A：可以，但对外不可见的内网IP无法通过公网DNS验证，需要用自签名或其他私有CA方案替代。
Q：同一个证书能不能同时保护 example.cn 和 example.com？
A：可以，这就是多域名SAN证书特性，申请时在工具中依次加上两个-D参数即可。