鉴于众所周知的原因，一直想换个CA的证书，Let's Encrypt是一个很好的选择，免费！支持ACME protocol（Automatic Certificate Management Environment，全自动服务器身份验证协议）、支持ECC证书、使用简便，非常推荐！我要去给它捐赠，贡献点绵力。

获取证书我没有使用官方的方法，而是使用了acme.sh，比官方的脚本更加简便。另外还有一个类似的acme-tiny，有兴趣也可以看看。

1、获取脚本

git clone https://github.com/Neilpang/acme.sh

2、申请证书：我采用的DNS验证，操作完成后需要按提示设置DNS对应TXT的记录；ec-256表示ECC证书

acme.sh --issue --dns -d xxx.net -d www.xxx.net --keylength ec-256

3、生成证书：DNS生效后，就可以获取证书了；--ecc表示ECC证书

acme.sh --renew -d xxx.net -d www.xxx.net --ecc

4、最后把生成的cert key和full chain certs配置到Nginx中即可。

5、自动化更新：写个脚本定期执行下即可

acme.sh --renew -d xxx.net -d www.xxx.net --ecc
acme.sh --renew -d xxx.net -d www.xxx.net --force --ecc   #未到期强制更新

观察几个月，如无问题，就准备全站HTTPS了。

参考文章：《Let's Encrypt，免费好用的 HTTPS 证书》、《开始使用 ECC 证书》