Let's Encrypt 将 IP 证书的有效期设定为 6 天，是一项基于安全考量的核心策略。这一设计主要出于以下几个方面的原因：

1. 缩短安全风险窗口（核心原因）
   当与证书关联的私钥发生泄露时，证书的有效时间越长，攻击者利用该证书造成损害的时间窗口就越大。将有效期缩短至 6 天，能够显著降低潜在的入侵风险，即使证书被滥用，其影响范围也能被迅速控制。
2. 弱化对传统吊销机制的依赖
   在传统的证书体系中，一旦证书出现问题需要撤销，通常会依赖 CRL（证书吊销列表）或 OCSP 协议，但这些机制在实际运行中往往不够可靠且效率低下。6 天的极短有效期意味着证书会自然且快速地过期，从而减少了对这些不可靠的吊销机制的依赖。
3. 强制推动证书生命周期自动化
   极短的有效期使得手动申请和更新证书变得完全不切实际。这强制要求使用者必须依赖自动化工具（如 Certbot 等 ACME 客户端）来完成证书的续期流程。Let's Encrypt 认为，高度自动化是提升整体网络安全性和证书管理效率的关键。
4. 弥补 IP 地址管理的先天缺陷
   相比于域名，IP 地址的所有权意识较弱，且经常发生变化（例如由 ISP 动态分配给住宅用户的 IP）。此外，域名有既定的仲裁规则（如 UDRP），而 IP 地址的权利纠纷往往非常混乱。6 天的短有效期可以作为一种额外的安全防御措施，降低攻击者使用伪造证书或非法占用 IP 证书造成损害的可能性。
5. 顺应行业缩短证书有效期的趋势
   这不仅是针对 IP 证书的特例，也是整个 TLS 生态系统的发展方向。Let's Encrypt 计划逐步缩短所有证书的有效期（例如未来计划将常规域名证书的最长期限从 90 天缩短至 45 天），以全面提升互联网基础设施的安全性。

IP 证书支持免费申请，但相较于传统的域名证书，免费 IP 证书的选择较少，且通常伴随一定的限制条件。以下是目前主流的免费申请途径及注意事项：

一、 免费 IP 证书的申请途径

1. Let's Encrypt（通过第三方平台）
   Let's Encrypt 现已开放对 IP 证书的免费支持。虽然其官方命令行工具操作较为复杂，但您可以通过“乐此加密（Let's Encrypt）”等第三方集成平台，在网页端零门槛、免费地为公网 IP（支持 IPv4 和 IPv6）申请证书，并支持自动续期功能。
2. ZeroSSL
   ZeroSSL 同样支持为纯 IP 地址颁发免费的 SSL 证书。不过，其免费证书存在 90 天的有效期限制，到期后需要再次手动申请续期。
3. JoySSL
   JoySSL 提供免费的 IP 地址专用 SSL 证书试用服务。申请时通常需要注册账号，并在注册过程中填写特定的注册码（如 230922 或 230961）以获取免费试用资格。申请成功后，需通过放置验证文件等方式验证 IP 控制权。

二、 免费 IP 证书的重要限制与注意事项

仅限公网 IP：免费 IP 证书仅支持公网静态 IP（IPv4 或 IPv6），不支持内网 IP。如果是内网环境，只能使用自签名证书或私有 CA。
有效期较短：免费 IP 证书通常有效期较短（例如 Let's Encrypt 的 IP 证书有效期可能仅为 6 天，ZeroSSL 为 90 天），强烈建议配置自动化脚本或使用支持自动续期的平台，以免证书过期导致服务中断。
验证方式受限：IP 证书无法使用 DNS 解析验证，通常只能通过 HTTP 文件上传或特定端口响应来验证您对 IP 的控制权，这要求您的服务器必须开放 80 等验证端口。
安全建议：虽然免费 IP 证书能消除浏览器的“不安全”警告，但直接暴露 IP 仍存在一定安全风险。如果条件允许，最推荐的替代方案是为该 IP 绑定一个域名，然后申请免费的域名 SSL 证书，这样不仅管理更方便，信任度也更高。

IP证书和域名证书虽然都是用于建立 HTTPS 加密连接的 SSL/TLS 证书，但在验证对象、申请难度、安全级别以及适用场景上存在显著差异。以下是两者的核心区别：

验证对象与信任锚点
域名证书：验证的是域名所有权（如 example.com）。CA 机构通过 DNS 解析记录或 HTTP 文件来确认申请者对该域名的控制权。
IP证书：验证的是公网 IP 地址的所有权或控制权。CA 机构需要确认申请者是该 IP 的合法拥有者（通常通过 WHOIS 记录、ISP 授权文件或特定的端口响应来验证）。

证书验证级别（安全信任度）
域名证书：支持 DV（域名验证）、OV（组织验证）和 EV（扩展验证）三个级别。用户可以根据需求选择不同信任级别的证书，EV 证书会在浏览器地址栏显示企业名称。
IP证书：通常仅支持 DV 和 OV 级别。由于 IP 地址本身不具备像企业域名那样的商业标识属性，目前主流 CA 机构不支持为 IP 地址颁发 EV 证书。

申请难度与成本
域名证书：申请门槛极低，尤其是 DV 证书，甚至可以由 Let's Encrypt 等机构免费自动签发。OV 和 EV 证书虽然需要人工审核企业资质，但流程已经非常标准化。
IP证书：申请门槛较高，且绝大多数不支持免费申请。由于验证 IP 所有权较为复杂，通常需要商业 CA 机构（如 DigiCert、GlobalSign）介入，审核周期较长，且证书费用相对昂贵。

通配符支持
域名证书：广泛支持通配符（Wildcard），一张证书可以保护 *.example.com 下的无限个同级子域名，极大降低了管理成本。
IP证书：不支持通配符。IP 地址是精确匹配的，每一个独立的公网 IP 都需要单独申请一张证书。

适用场景
域名证书：适用于 99% 的常规互联网业务，如企业官网、电商平台、SaaS 服务、个人博客等。
IP证书：属于特殊场景下的补充方案。通常用于以下情况：

内部系统或测试环境，尚未绑定域名。
物联网（IoT）设备、工控网络等直接通过 IP 进行通信的场景。
某些特殊的 API 接口或底层网络服务，因架构原因无法或不便使用域名。

总结建议：
在绝大多数情况下，强烈建议使用域名证书。域名不仅易于记忆、支持通配符，而且能够展示企业品牌（EV证书），管理成本也更低。只有在您的业务架构确实无法绑定域名，且必须通过纯 IP 地址进行安全通信时，才考虑申请 IP 证书。

为公网 IP 地址申请 SSL 证书的流程与传统的域名证书有所不同，因为并非所有证书颁发机构（CA）都支持此服务。以下是申请 IP SSL 证书的完整指南：

一、 申请前的关键准备
确认 IP 地址属性：必须是允许互联网访问的公网 IP 地址（目前大多仅支持 IPv4），且您必须对该 IP 拥有合法的管理权限。局域网 IP 无法申请受信任的 CA 证书。
开放验证端口：在申请和验证过程中，需要临时开放 80 或 443 端口（两者选其一），以便 CA 机构进行所有权验证。
准备企业资料：如果您申请的是 OV（组织验证）级别的证书，需要提前准备好企业营业执照、联系人信息以及 IP 地址的所有权证明（如 ISP 分配记录）。

二、 选择合适的证书类型与 CA 机构
证书类型选择：
DV（域名/基础验证）证书：仅验证 IP 地址的所有权，验证过程简单快速，适合开发测试环境。
OV（组织验证）证书：除了验证 IP 所有权，还需验证企业真实身份，安全性更高，适合企业生产环境。
注意：扩展验证型（EV）证书通常不支持通过 IP 地址进行申请。
选择支持 IP 证书的 CA 机构：
商业付费 CA：如 DigiCert、GlobalSign、Sectigo 等，适合大型企业，提供 OV/EV 验证及 API 自动化管理，价格相对较高（几百至上千美元/年不等）。
提供免费/试用服务的 CA：如 JoySSL、锐安信 sslTrus、CFCA 等，提供免费试用或 DV 级别的 IP 证书，适合个人开发者或小微企业。
注意：Let's Encrypt 等免费 CA 对 IP 证书支持有限（如仅支持有效期极短的测试证书），不建议用于生产环境。

三、 标准申请流程
注册账号并提交申请：访问所选 CA 机构的官网，注册账号。在申请页面选择“IP 地址证书”，填写公网 IP 地址及用途。若申请 OV 证书，需同步提交企业证明材料。
生成 CSR 文件：在服务器端生成证书签名请求（CSR）文件。在生成时，Common Name（通用名称）字段必须填写您的公网 IP 地址。
完成所有权验证：CA 机构会验证您对该 IP 的控制权。常见的验证方式包括：
文件验证：在 IP 对应的服务器根目录下放置 CA 指定的验证文件。
DNS 记录验证：在 IP 所属网络的 DNS 中添加指定的 TXT 记录。
HTTP 端口验证：在指定端口响应特定的验证请求。
审核与签发：DV 证书通常在几分钟到几小时内签发；OV 证书由于需要人工核实企业信息，通常需要 1-3 个工作日。
下载与部署：审核通过后，从 CA 后台下载证书文件（包含证书本体、私钥及中间链证书），并按照 Nginx/Apache/IIS 等 Web 服务器的规范进行 HTTPS 配置。

四、 重要注意事项
不支持通配符：IP 证书不支持通配符（如 192.168.），每个 IP 地址都需要单独申请一张证书。
证书有效期：商业 IP 证书有效期通常为 1 年，到期前需及时续订，以免服务中断。
IP 变更风险：如果服务器的公网 IP 发生变更，原证书将失效，必须重新申请新 IP 的证书。

选择多域名证书还是通配符证书，并没有绝对的好坏，关键在于您的域名结构、管理成本以及业务预算。以下是两者的核心区别与选择指南：

一、 核心区别与适用场景

1. 通配符证书（Wildcard Certificate）
   保护范围：专门用于保护一个主域名下的所有同级子域名（例如 *.example.com 可以保护 www.example.com、blog.example.com、api.example.com 等）。
   局限性：无法跨主域使用，例如 *.example.com 的证书不能用于 example.cn 或 test.net。
   适用场景：企业拥有单一品牌顶级域名，但在其下设置了官网、邮件系统、OA系统、论坛、APP服务器等多个次级子域名，且未来可能随时新增子域名。
2. 多域名证书（Multi-Domain / SAN Certificate）
   保护范围：灵活性极高，可以同时保护多个完全不同的主域名及子域名（例如在一张证书里同时包含 example.com、test.cn、blog.example.net）。
   局限性：通常有域名数量限制（如默认支持 3 个、5 个或最多 100 个以上），若后续需要增加域名，可能需要重新申请或付费升级。
   适用场景：企业或项目拥有多个独立的品牌域名、不同后缀的域名，或者需要保护分属不同主域下的特定子域名，希望统一部署和管理。

二、 选型决策指南

您可以根据以下三个维度进行综合评估：

1. 域名结构（首要考量）
   如果所有需要保护的域名都属于同一主域下的子域名，优先选择通配符证书。
   如果需要保护的域名分属不同主域，或包含多个独立的顶级域名，必须选择多域名证书。
2. 管理与运维成本
   通配符证书：只需维护一张证书，后续新增同级别子域名无需重新申请或更新证书，直接部署即可，大大减少了证书管理的工作量和漏续风险。
   多域名证书：若需新增域名，通常需要重新提交审核、颁发或付费升级，管理成本相对较高。
3. 预算考量
   通常情况下，通配符证书的价格会低于包含多个域名的多域名证书。如果同主域子域名数量多，通配符证书的性价比极高。
   如果域名数量少且分属不同主域，多域名证书更划算；但如果需要保护的独立域名数量极其庞大，多域名证书的总费用可能会较高。

💡 进阶方案：多域名通配符证书（混合型证书）
如果您的业务既拥有多个不同的主域名，又需要在其中某些主域下保护无限量的子域名，可以选择多域名通配符证书（混合证书）。这种证书支持在一张证书中混合绑定通配符域名（如 *.example.com）和完全不同的独立域名（如 abc.com、aa.123.cn），兼顾了灵活性与统一管理的需求。