Let's Encrypt 是全球最大的免费证书颁发机构，由 ISRG（互联网安全研究小组）运营。

特点：

✅ 完全免费
✅ 自动续期（有效期 90 天）
✅ 支持通配符证书

申请方式：

使用 Certbot 工具自动申请：

# 安装 Certbot
sudo apt install certbot python3-certbot-nginx

# 为 Nginx 自动申请并配置
sudo certbot --nginx -d example.com -d www.example.com

# 设置自动续期
sudo certbot renew --dry-run

或使用 acme.sh 脚本：

# 安装 acme.sh
curl https://get.acme.sh | sh

# 申请证书
acme.sh --issue -d example.com -w /var/www/html

# 安装到 Nginx
acme.sh --install-cert -d example.com \
  --key-file /etc/nginx/ssl/key.pem \
  --fullchain-file /etc/nginx/ssl/cert.pem \
  --reloadcmd "systemctl reload nginx"