一般來(lái)說(shuō)，我們使用域名訪(fǎng)問(wèn)給域名加上 SSL 證書(shū)是建站的常規(guī)操作，但是有一些應(yīng)用可能不需要使用域名訪(fǎng)問(wèn)，或者是不想綁定域名，而只是想用單純的 IP 來(lái)實(shí)現(xiàn)訪(fǎng)問(wèn)。在現(xiàn)在全網(wǎng)都是 HTTPS 加密訪(fǎng)問(wèn)的背景下，有沒(méi)有可能給 IP 地址也加上 SSL 證書(shū)實(shí)現(xiàn)訪(fǎng)問(wèn)呢？

有。但大多數(shù)面對(duì) IP 的 SSL 證書(shū)都是收費(fèi)的。而 zeroSSL 提供免費(fèi) SSL 證書(shū)[1]是支持純 IP 頒發(fā)的，本篇文章就來(lái)分享一下zeroSSL[2]免費(fèi)的純 IP SSL 證書(shū)申請(qǐng)以及如何在自己的服務(wù)器（Nginx）安裝配置 zeroSSL 免費(fèi) SSL 證書(shū)。更多的免費(fèi) SSL 請(qǐng)參考專(zhuān)題頁(yè)面：免費(fèi) SSL 證書(shū)收集整理匯總[3]。

ZeroSSL 證書(shū)申請(qǐng)

網(wǎng)站：https://zerossl.com[4]

手動(dòng)申請(qǐng)

進(jìn)入到ZeroSSL[5]官網(wǎng)，注冊(cè)一個(gè)賬號(hào)，然后點(diǎn)擊免費(fèi) SSL 證書(shū)申請(qǐng)。

填寫(xiě)你的 IP 地址，然后選擇免費(fèi) SSL 證書(shū)時(shí)長(zhǎng)。

選擇自動(dòng)生成 CSR。

驗(yàn)證域名

ZeroSSL 免費(fèi) SSL 證書(shū)提供了兩種域名驗(yàn)證方式，最簡(jiǎn)單的就是 Web 驗(yàn)證，但是前提是你要讓你的 IP 地址實(shí)現(xiàn) Web 訪(fǎng)問(wèn)。如果沒(méi)有，你可以選擇使用域名 DNS 添加 TXT 記錄驗(yàn)證。

選擇網(wǎng)站 Web 訪(fǎng)問(wèn)的話(huà)，直接下載驗(yàn)證文件，然后上傳到 IP 地址默認(rèn)的 Web 目錄下，要求是路徑保持如下：

用你的瀏覽器打開(kāi) IP，保證可以訪(fǎng)問(wèn)到驗(yàn)證文件。

最后，回到 ZeroSSL 驗(yàn)證頁(yè)面，點(diǎn)擊完成驗(yàn)證。

ZeroSSL 證書(shū)安裝

下載證書(shū)文件

ZeroSSL 證書(shū)驗(yàn)證成功后，你就可以下載證書(shū)文件了。ZeroSSL SSL 證書(shū)[6]提供了多種形式，包括了 Nginx、Apache 等。

這里以 Nginx 為例，下載下來(lái)的 ZeroSSL 證書(shū)文件有三個(gè)：ca_bundle.crt 和 certificate.crt 以及私鑰 key。

合并 SSL 證書(shū)

對(duì)于 Nginx 服務(wù)器，需要將 ca_bundle.crt 和 certificate.crt 合并，方法是打開(kāi) certificate.crt，然后將 ca_bundle.crt 的內(nèi)容復(fù)制粘貼放在后面。

安裝 SSL 證書(shū)

如果你用的是寶塔面板，可以直接在后臺(tái)點(diǎn)擊安裝 SSL 證書(shū)，然后將證書(shū)和密鑰文件分別上傳保存即可。

如果你用的是Oneinstack 一鍵包[7]和LNMP 一鍵安裝包[8]，則需要打開(kāi)你的 Nginx 配置文件（不是域名 Nginx 配置文件），參考以下格式修改，注意要將 SSL 證書(shū)的路徑改成你自己的：

server
    {
        listen 443 ssl http2;
        #listen [::]:443 ssl http2;
        server_name _;
        index index.html index.htm index.php;
        root  /home/wwwroot/default;
        ssl_certificate /usr/local/nginx/conf/ssl/ipssl/wzfouip.crt;
        ssl_certificate_key /usr/local/nginx/conf/ssl/ipssl/wzfouip.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_ciphers "TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5";
        ssl_session_cache builtin:1000 shared:SSL:10m;
        # openssl dhparam -out /usr/local/nginx/conf/ssl/dhparam.pem 2048
        ssl_dhparam /usr/local/nginx/conf/ssl/dhparam.pem;
        access_log  /home/wwwlogs/access.log;
    }

證書(shū)安裝后，記得執(zhí)行一次:nginx -t 來(lái)檢查一下是否有沒(méi)有語(yǔ)法錯(cuò)誤，沒(méi)有的話(huà)直接重啟 Nginx 完成 SSL 證書(shū)安裝。打開(kāi) IP 地址你就可以看到 IP SSL 證書(shū)已經(jīng)成功安裝了。

總結(jié)

就目前來(lái)看，純 IP 的ZeroSSL 免費(fèi) SSL 證書(shū)[9]暫時(shí)沒(méi)有很好的工具來(lái)自動(dòng)續(xù)期，Github 有開(kāi)發(fā)者使用 golang 寫(xiě)了個(gè)工具可以實(shí)現(xiàn)更新：https://github.com/tinkernels/zerossl-ip-cert，但是不好操作，所以比較簡(jiǎn)單的方法就是自己手動(dòng)申請(qǐng)續(xù)期。