Let’s Encrypt 在本周（2025年12月19日）开始正式提供 IP 地址证书的签发，依旧免费。
先不讨论 IP 证书有什么用，先实现签发 IP 证书这件事吧

简单粗暴，直接开始。

以下教程以 Linux 为例，Windows 下请使用 wsl

注意

需要公网 IP 地址，需要 80/443 端口，无法为局域网签发（如果你有办法，请反馈给青小蛙）

另外，感谢 ㄞ 同学。

第一步：安装 / 升级 acme.sh

acme.sh 是著名的自动化证书签发程序，支持 Let’s Encrypt、ZeroSSL 等不同的证书提供商。

curl https://get.acme.sh | sh -s email=my@example.com

如果安装过，那么升级方式：./acme.sh upgrade

第二步：签发证书

第一种：独立方式

独立方式是服务器中本身没有 Web 服务，acme.sh 会自己运行一个 Web 服务来进行验证：

$ ./acme.sh --issue --server letsencrypt -d 64.23.194.105 --certificate-profile shortlived --days 3 --standalone

命令具体解析如下：

• ./acme.sh：执行 acme.sh 脚本。
• --issue：申请一个新证书。
• --server letsencrypt：使用 Let’s Encrypt 服务器。
• -d 64.23.194.105：证书申请的目标是 IP 地址 64.23.194.105（该IP用于测试，已被删除）
• --certificate-profile shortlived：申请一个短期证书（最长90天？）。
• --days 3：证书的有效期是 3 天。
• --standalone：使用 standalone 模式验证，不依赖现有的 Web 服务器。（需要80/443端口）

关于最长期限，青小蛙测试了 60 天成功，所以应该还是 90 天。

第二种：服务器模式

服务器模式可以使用现有的服务器，比如已经在运行 Nginx，就可以直接用。好处是不中断现有服务。

感谢烧饼，这里有一个最简的 Nginx 配置：

server {
    listen 80 default_server;
    server_name _;
    location ~ ^/.well-known/(acme-challenge|pki-validation)/ {
        add_header Content-Type text/plain;
        root /wwwroot/letsencrypt;
    }
}

以上这一步的目的是让服务器可以接受当前 IP 地址的直接访问，让 Let’s Encrypt 验证这个 IP 地址是你在控制。

注意 root 后面的内容是你自己服务器的路径，单独创建一个空文件夹即可。

再运行：

& ./acme.sh --issue --server letsencrypt -d 64.23.194.105 -w /wwwroot/letsencrypt --certificate-profile shortlived --days 8

证书文件在哪里？

生成的证书默认保存在 /root/.acme.sh/64.23.194.105_ecc/ 路径下，你要使用的是：

• /root/.acme.sh/64.23.194.105_ecc/64.23.194.105.key （私钥）
• /root/.acme.sh/64.23.194.105_ecc/fullchain.cer （完整证书链）

比如在 Nginx 的配置文件中，就是这样写：

    ssl_certificate /root/.acme.sh/64.23.194.105_ecc/64.23.194.105.key;
    ssl_certificate_key /root/.acme.sh/64.23.194.105_ecc/fullchain.cer;

重启服务器，就好啦。

自动续签

因为证书有效期很短，所以需要设置一个 crontab 定时：

crontab -e
0 0 * * * /root/.acme.sh/acme.sh --cron --home /root/.acme.sh > /dev/null

就好了。（续签只能解决证书更新的问题，还要记得定时重启你的 Web 服务器啊）

一个例子

以小众软件为例，是这样的：

51 1 */10 * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" --reloadcmd "docker exec appinn-nginx-1 nginx -s reload"

因为小众软件的 Nginx 跑在 Docker 中，需要以这样的方式重启一下，这次彻底结束。

原文：https://www.appinn.com/letsencrypt-issue-ip-ssl-certificates/

一个问题

IP 地址证书到底有什么用？

相关阅读

• 在 Nginx 上使用 Let’s Encrypt 加密(HTTPS)你的网站[简明教程]
• Let’s Encrypt 将于“本周”提供对 IP 地址证书的支持
• SynoCommunity – 群晖第三方套件中心：131 款开源群晖套件
• 为「远程访问」群晖 DS218+ 添加 HTTPS 支持
• Grape for GitHub – 致力于打造简洁且功能强大的 GitHub 客户端

2025年12月19日更新：已更新教程，可点击前往：

在一天前，Let’s Encrypt 在论坛发布了一篇《Let’s Encrypt 证书即将发生的变化》中提到：Let’s Encrypt 正在对我们颁发的证书进行多项更新，包括新的根证书、弃用 TLS 客户端身份验证以及缩短证书有效期。

但在后面有一句话：

如果您正在从我们的 TLS 服务器或短期证书配置文件申请证书，您将在本周开始看到来自 Y 世代证书体系的证书。此次切换也标志着 Let’s Encrypt 短期证书（包括对证书中 IP 地址的支持）的正式上线。

Let’s Encrypt 曾经在 2025年1月份宣布将要在 2025 年支持 IP 地址证书，终于在2025的尾巴上实现了

真的是，恨不得一天都不提前，最好在12月31日上线，对吧。

另外，由于没有看到更多细节，暂时不知道 IP 地址证书是什么样子的，有效期（有猜测是几天），也不知道本周到底能不能上，所以这个帖子将持续更新。

我就有个问题，他们不会是真的为了2025年上线而上线吧？

原文地址：https://www.appinn.com/lets-encrypt-ip-certs/

相关阅读

• 在 Nginx 上使用 Let’s Encrypt 加密(HTTPS)你的网站[简明教程]
• 为「远程访问」群晖 DS218+ 添加 HTTPS 支持
• 该来的还真来了：Let’s Encrypt 宣布证书有效期缩短至 45 天
• SynoCommunity – 群晖第三方套件中心：131 款开源群晖套件
• 【教程】使用 Let’s Encrypt 签发免费的 IP 地址证书