Let’s Encrypt 是一個免費、自動化和開源的證書頒發機構（CA），主要用於頒發 SSL/TLS 證書以保護網站通信（HTTPS）。然而，Let’s Encrypt 頒發的證書主要用於服務器身份驗證（Server Authentication），其“密鑰用途”（Key Usage）通常限製為 TLS Web Server Authentication 和 TLS Web Client Authentication，不包含數字簽名（Digital Signature）或非否認性（Non-Repudiation）用途。因此，**Let’s Encrypt 證書無法直接用於文檔簽名（如 PDF 簽名）或代碼簽名**，因為這些場景需要特定的密鑰用途和證書策略。

以下分析如何嚐試從 Let’s Encrypt 獲取證書，以及為什麽其證書不適合數字簽名，並提供替代方案和注意事項。內容基於 Let’s Encrypt 官方文檔和相關討論（如、、）。[](https://letsencrypt.org/getting-started/)[](https://superuser.com/questions/1097439/can-you-use-an-ssl-certificate-provided-by-letsencrypt-org-to-digitally-sign-pdf)[](https://community.letsencrypt.org/t/x509-cert-for-signing-files-digital-signatures/67799)

---

### **一、從 Let’s Encrypt 獲取證書的步驟**

雖然 Let’s Encrypt 證書不適合用於文檔或代碼簽名，但以下是獲取 Let’s Encrypt SSL/TLS 證書的通用步驟，供參考。這些步驟假設你希望為網站或服務器獲取證書，但後續會說明為何不能用於數字簽名。

#### **1. 確定托管環境**
- **托管提供商支持**：檢查你的托管提供商（如阿裏雲、AWS、GoDaddy）是否自動支持 Let’s Encrypt 證書。許多提供商（如 cPanel 主機）內置 Let’s Encrypt 集成，可通過控製麵板一鍵啟用。
  - **注意事項**：如果提供商支持，你無需手動運行 ACME 客戶端，直接啟用即可（）。[](https://letsencrypt.org/getting-started/)
- **自托管服務器**：如果你有服務器管理權限（如 VPS），需要手動運行 ACME 客戶端（如 Certbot）。

#### **2. 安裝 ACME 客戶端**
- **推薦工具**：Certbot 是最常用的 Let’s Encrypt ACME 客戶端，支持多種操作係統和 Web 服務器（如 Nginx、Apache）。
- **安裝步驟**（以 Ubuntu 為例，參考、）：[](https://www.digitalfiverr.com/blog/how-to-generate-a-free-ssl-certificate-using-lets-encrypt-in-2025/)[](https://www.devdungeon.com/content/letsencrypt-free-ssl-certificate-tutorial)
  ```bash
  sudo apt update
  sudo apt install certbot python3-certbot-nginx  # 對於 Nginx
  # 或者
  sudo apt install certbot python3-certbot-apache  # 對於 Apache
  ```
  - **macOS**：
    ```bash
    brew install certbot
    ```
  - **CentOS/RHEL**：
    ```bash
    sudo yum install epel-release
    sudo yum install certbot python3-certbot-nginx
    ```

#### **3. 配置服務器**
- **DNS 設置**：確保你的域名已指向服務器的 IP 地址（A 記錄或 CNAME）。
- **開放端口**：確保服務器防火牆允許 HTTP（80）和 HTTPS（443）流量：
  ```bash
  sudo ufw allow 80
  sudo ufw allow 443
  ```

#### **4. 獲取證書**
- **自動配置**（推薦，適合 Nginx/Apache）：
  - 對於 Nginx：
    ```bash
    sudo certbot --nginx
    ```
  - 對於 Apache：
    ```bash
    sudo certbot --apache
    ```
  - Certbot 會提示輸入域名、郵箱並同意服務條款，自動配置 Web 服務器。
- **手動模式**（不修改服務器配置）：
  ```bash
  sudo certbot certonly --standalone -d yourdomain.com
  ```
  - 證書文件存儲在 `/etc/letsencrypt/live/yourdomain.com/`，包括：
    - `fullchain.pem`：完整證書鏈（包含公鑰）。
    - `privkey.pem`：私鑰。
    - `cert.pem`：證書。
    - `chain.pem`：中間證書鏈。
- **測試環境**：先使用 Let’s Encrypt 的測試 API（staging environment）測試：
  ```bash
  sudo certbot --nginx --test-cert
  ```

#### **5. 驗證證書**
- 重啟 Web 服務器：
  ```bash
  sudo systemctl restart nginx
  # 或
  sudo systemctl restart apache2
  ```
- 訪問 `https://yourdomain.com` 檢查 HTTPS 是否生效。
- 使用 SSL Labs（https://www.ssllabs.com/ssltest/）驗證證書配置。

#### **6. 自動續期**
- Let’s Encrypt 證書有效期為 90 天，需定期續期。
- Certbot 默認設置自動續期任務，驗證：
  ```bash
  sudo systemctl list-timers | grep certbot
  ```
- 手動測試續期：
  ```bash
  sudo certbot renew --dry-run
  ```
- 添加 cron 任務（可選）：
  ```bash
  echo "0 0,12 * * * /usr/bin/certbot renew --quiet" | sudo tee -a /etc/crontab
  ```

---

### **二、為何 Let’s Encrypt 證書不適合數字簽名**

根據搜索結果（、），Let’s Encrypt 證書不適合用於文檔簽名（如 PDF）或代碼簽名的原因如下：[](https://superuser.com/questions/1097439/can-you-use-an-ssl-certificate-provided-by-letsencrypt-org-to-digitally-sign-pdf)[](https://community.letsencrypt.org/t/x509-cert-for-signing-files-digital-signatures/67799)

1. **密鑰用途限製**：
   - Let’s Encrypt 證書的“Key Usage”字段通常僅包含 `TLS Web Server Authentication` 和 `TLS Web Client Authentication`，不包括 `Digital Signature` 或 `Non-Repudiation`（非否認性）。
   - 文檔簽名（如 PDF）或代碼簽名需要證書明確支持 `Digital Signature` 用途。例如，Adobe Acrobat 等軟件會檢查證書的密鑰用途，拒絕不符合要求的證書（、）。[](https://superuser.com/questions/1097439/can-you-use-an-ssl-certificate-provided-by-letsencrypt-org-to-digitally-sign-pdf)[](https://community.letsencrypt.org/t/x509-cert-for-signing-files-digital-signatures/67799)

2. **身份驗證級別**：
   - Let’s Encrypt 提供的是域名驗證（DV，Domain Validated）證書，僅驗證域名控製權，不驗證個人或組織身份。
   - 文檔簽名通常需要個人身份（如 S/MIME 證書）或組織身份（OV/EV 證書），以明確簽名者身份。Let’s Encrypt 證書的 Subject 字段僅包含域名（如 `CN=yourdomain.com`），不適合標識個人或實體（）。[](https://superuser.com/questions/1097439/can-you-use-an-ssl-certificate-provided-by-letsencrypt-org-to-digitally-sign-pdf)

3. **軟件兼容性**：
   - PDF 簽名軟件（如 Adobe Acrobat）要求證書符合特定策略（如 AATL，Adobe Approved Trust List）。Let’s Encrypt 證書未列入 AATL，且其策略不支持文檔簽名（）。[](https://community.letsencrypt.org/t/x509-cert-for-signing-files-digital-signatures/67799)
   - 代碼簽名證書需由受信任的 CA（如 Microsoft Trusted Root Program）頒發，Let’s Encrypt 不符合這些要求。

4. **法律效力**：
   - 在中國，《電子簽名法》要求可靠電子簽名需由可信 CA（如 CFCA）認證，Let’s Encrypt 的 DV 證書可能不被認可。
   - 歐盟 eIDAS 法規要求合格電子簽名（QES）需使用符合特定標準的證書，Let’s Encrypt 不滿足 QES 要求。

---

### **三、嚐試使用 Let’s Encrypt 證書進行簽名的可行性**

盡管不推薦，但技術上可以嚐試將 Let’s Encrypt 證書用於簽名，需注意以下限製：
- **實驗性簽名**：
  - 使用工具如 OpenSSL 或 iTextSharp 將 `cert.pem` 和 `privkey.pem` 導入簽名軟件，嚐試對 PDF 或其他文件簽名。

    ```
- **問題**：
  - 簽名可能在某些軟件中顯示為無效，因為證書缺少 `Digital Signature` 用途。
  - 驗證方（如 Adobe Reader）可能不信任簽名，因為 Let’s Encrypt 證書未列入 AATL 或類似信任列表。
  - 簽名不具備法律效力，難以用於正式場景。

---

### **四、替代方案：獲取用於簽名的證書**

由於 Let’s Encrypt 不適合數字簽名，以下是獲取適合文檔或代碼簽名證書的替代方案：

1. **免費 S/MIME 證書（適合個人文檔簽名）**：
   - **提供商**：
     - **Sectigo（原 Comodo）**：提供免費 1 年期 S/MIME 證書，適合電子郵件和 PDF 簽名。
       - 申請：訪問 Sectigo 官網，輸入郵箱，下載證書。
     - **Actalis**：提供免費 S/MIME 證書，支持 PDF 簽名，符合 eIDAS 標準。
   - **注意事項**：
     - 需手動安裝到簽名軟件（如 Adobe Acrobat、Outlook）。
     - 證書需綁定個人郵箱，法律效力有限（非 QES）。
   - **適用場景**：個人文檔簽名，如學術文件、合同。

2. **商業 CA 的簽名證書**：
   - **提供商**：
     - **Certum**：提供價格較低的 S/MIME 和文檔簽名證書，列入 Adobe AATL（）。[](https://community.letsencrypt.org/t/x509-cert-for-signing-files-digital-signatures/67799)
     - **DigiCert**：提供 OV/EV 證書，適合企業文檔和代碼簽名。
     - **GlobalSign**：提供個人和組織級簽名證書，廣泛用於 PDF 和代碼簽名。
   - **成本**：通常為 20-200 美元/年，視證書類型而定。
   - **注意事項**：
     - 需提供身份證明（如身份證、營業執照）。
     - 證書需存儲在 HSM 或 USB 令牌中，滿足高合規要求（如 eIDAS QES）。
   - **適用場景**：企業合同、醫療處方、法律文件。

3. **中國本地 CA**：
   - **提供商**：
     - **中國金融認證中心（CFCA）**：提供符合《電子簽名法》的可靠電子簽名證書，適合醫療處方、合同等。
     - **天威誠信（iTrusChina）**：提供個人和企業簽名證書，支持 PDF 和代碼簽名。
   - **注意事項**：
     - 需通過 CFCA 或其授權機構申請，提交身份信息。
     - 證書通常綁定 U 盾或雲簽名服務，安全性高。
   - **適用場景**：中國市場的醫療、法律、金融場景。

4. **區塊鏈與 DID 替代方案**：
   - **新興技術**：基於去中心化身份（DID）或區塊鏈的簽名方案（如 DocuSign 的區塊鏈存證、至信鏈）可提供類似數證簽名的功能。
   - **實現**：使用 DID 生成自簽名憑證，存儲在區塊鏈上（如 Ethereum、Hyperledger）。
   - **注意事項**：技術尚不成熟，法律效力需進一步明確。

---

### **五、注意事項與建議**

1. **明確簽名用途**：
   - 如果需要文檔簽名（如 PDF），選擇支持 `Digital Signature` 用途的證書（如 S/MIME 或專用簽名證書）。
   - Let’s Encrypt 僅適合 HTTPS 場景，不推薦用於簽名。

2. **合規性**：
   - **中國**：確保證書符合《電子簽名法》，選擇 CFCA 等可信 CA。
   - **歐盟**：使用符合 eIDAS QES 標準的證書（如 Actalis、Certum）。
   - **美國**：選擇列入 AATL 的證書（如 DigiCert、GlobalSign）。

3. **安全存儲**：
   - 簽名證書的私鑰需存儲在安全設備（如 HSM、USB 令牌）中，防止泄露。
   - 使用雲簽名服務（如 DocuSign、Adobe Sign）可簡化密鑰管理，但需確保服務商合規。

4. **驗證與互操作性**：
   - 確保簽名格式（如 PAdES）兼容主流軟件（如 Adobe Reader）。
   - 提供驗證 API 或 URL（如 Parchment 的驗證鏈接），便於第三方核實。

5. **用戶體驗**：
   - 集成簽名到現有平台（如遠程醫療係統），提供一鍵簽名功能。
   - 為非技術用戶提供指南，降低使用門檻。

---

### **六、結論**

**Let’s Encrypt 證書的局限性**：  
Let’s Encrypt 證書因密鑰用途限製（無 Digital Signature）和僅支持域名驗證，無法用於文檔或代碼簽名。嚐試使用可能導致簽名無效或不被信任（）。[](https://community.letsencrypt.org/t/x509-cert-for-signing-files-digital-signatures/67799)

**替代方案**：
- 免費 S/MIME 證書（如 Sectigo、Actalis）適合個人文檔簽名。
- 商業 CA（如 Certum、DigiCert、CFCA）提供符合法規的簽名證書，適合醫療、法律等場景。
- 區塊鏈和 DID 技術是未來趨勢，但目前法律效力有限。

**建議**：
- 明確簽名場景（如 PDF、醫療處方），選擇合適的 CA 和證書類型。
- 如果需要醫療處方簽名，推薦 CFCA 或 GlobalSign 的證書，結合 PAdES 標準和區塊鏈存證，確保安全和合規。
- 參考上一問答中的遠程處方簽名代碼，集成到你的應用中。