Artikelgids
laas keer opgelosKon nie aansoek doen om Let's Encrypt-foutboodskap te installeer: AutoSSL-kwessie het misluk nieNa die DNS-probleem het hierdie gratis SSL-sertifikaat 'n paar probleme om op te los.
CWP-kontrolepaneelOorspronklik het dit gelyk of die Let's Encrypt-sertifikaat outomaties hernu is voordat dit verval het, maar gister het Let's Encrypt nie die sertifikaat outomaties hernu nie.SEODie verkeer het skerp gedaal, maar dit kan gelukkig herstel word nadat die oplossing reggemaak is.
Wat is Kom ons Enkripteer?
Let's Encrypt is 'n gratis, outomatiese en oop sertifikaatowerheid (CA) wat deur die nie-winsgewende Internet Security Research Group (ISRG) verskaf word.
Eenvoudig gestel, HTTPS (SSL/TLS) kan gratis vir ons webwerf geaktiveer word met behulp van 'n sertifikaat wat deur Let's Encrypt uitgereik is.
Die uitreiking/hernuwing van Let's Encrypt gratis sertifikate word geoutomatiseer deur skrifte. Let's Encrypt beveel amptelik aan om die Certbot-kliënt te gebruik om sertifikate uit te reik.
Die volgende is 'n handleiding oor hoe om aansoek te doen vir 'n Let's Encrypt gratis SSL-sertifikaat▼
Wat is 'n Kom ons Enkripteer jokertekensertifikaat?
Voordat jokertekensertifikate verskyn het, het Let's Encrypt slegs 2 sertifikate ondersteun:
- Enkeldomeinsertifikaat: Die sertifikaat bevat slegs een gasheer.
- SAN-sertifikaat: Ook bekend as domeinnaamsertifikaat, 'n sertifikaat kan veelvuldige gashere insluit (Kom ons enkripteer limiet is 20).
Vir individuele gebruikers, aangesien daar nie te veel gashere is nie, is daar absoluut geen probleem met die gebruik van SAN-sertifikate nie, maar vir groot maatskappye is daar 'n paar probleme:
- Daar is baie subdomeine, en 'n nuwe gasheer kan mettertyd benodig word.
- Daar is ook baie geregistreerde domeine.
Vir groot ondernemings sal SAN-sertifikate dalk nie aan die behoeftes voldoen nie, en alle gashere is in een sertifikaat vervat, wat nie met Let's Encrypt-sertifikate bevredig kan word nie (limiet 20).
Wildcard-sertifikate is sertifikate wat 'n jokerteken kan bevat:
- Byvoorbeeld *.example.com, *.example.cn,Gebruik * om outomaties alle subdomeine te pas;
- Groot ondernemings kan ook wildcard-sertifikate gebruik, en een SSL-sertifikaat kan meer gashere plaas.
Verskil tussen wildcard-sertifikaat en SAN-sertifikaat
- Wildcard-sertifikate - Wildcard-sertifikate word wyd gebruik om verskeie subdomeine onder 'n unieke volledig gekwalifiseerde domeinnaam te beskerm.Die voordeel van hierdie tipe sertifikaat is dat dit nie net die bestuur van sertifikate maklik maak nie, maar dit help jou ook om jou oorhoofse koste te verminder.Dit beskerm jou huidige en toekomstige subdomeine te alle tye.
- SAN-sertifikate - SAN-sertifikate (ook bekend as multi-domein-sertifikate) word gebruik om veelvuldige domeine met 'n enkele sertifikaat te beveilig.Hulle verskil van wildcard-sertifikate deurdat hulle almal ondersteunonbeperksubdomeine. SAN ondersteun slegs die volledig gekwalifiseerde domeinnaam wat in die sertifikaat ingevoer is. SAN-sertifikate is indrukwekkend, want deur dit te gebruik, kan jy meer as 100 verskillende volledig gekwalifiseerde domeinname met 'n enkele sertifikaat beskerm; die hoeveelheid beskerming hang egter af van die sertifikaatowerheid wat uitreik.
Hoe om aansoek te doenKom ons enkripteerWildcard-sertifikaat?
Om jokertekensertifikate te implementeer, het Let's Encrypt die implementering van die ACME-protokol opgegradeer, en slegs die v2-protokol kan jokertekensertifikate ondersteun.
Dit wil sê, enige kliënt kan aansoek doen vir 'n wildcard-sertifikaat solank dit ACME v2 ondersteun.
Laai Certbot-Auto af
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto --version
Kom ons enkripteer Wildcard-sertifikaatskrip
git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au cd certbot-letencrypt-wildcardcertificates-alydns-au chmod 0777 au.sh
Kom ons enkripteer die hernuwingskrip vir wildcard-sertifikaatvervaltydsberekening
Die skrip hier is 'n bediener wat deur nginx saamgestel en geïnstalleer is of deur Docker geïnstalleer is, instaanbediener https deur die gasheerinstaanbediener of lasbalanserende gasheer, rugsteun outomaties die SSL-sertifikaat en herbegin die Nginx-instaanbediener.
- Let wel: Die skrif gebruik eintlik die
./certbot-auto renew
#!/usr/bin/env bash cmd="$HOME/certbot-auto" restartNginxCmd="docker restart ghost_nginx_1" action="renew" auth="$HOME/certbot/au.sh php aly add" cleanup="$HOME/certbot/au.sh php aly clean" deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd" $cmd $action \ --manual \ --preferred-challenges dns \ --deploy-hook \ "$deploy"\ --manual-auth-hook \ "$auth" \ --manual-cleanup-hook \ "$cleanup"
aansluit crontab, wysig lêer▼
/etc/crontab
#证书有效期<30天才会renew,所以crontab可以配置为1天或1周 0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh
CWP-bedienerkonfigurasie herbou
Hier is die stappe vir CWP om die nginx/apache-bediener te herbou:
Stap 1: Aan die linkerkant van die CWP-kontrolepaneel, klik Webbediener-instellings → Kies Webbedieners ▼
Stap 2:Kies Nginx & Vernis & Apache ▼
Stap 3:Klik die "Stoor en herbou konfigurasie"-knoppie onderaan om die konfigurasie te stoor en te herbou.
- Verfris die webwerf en jy sal sien dat die vervaldatum van die SSL-sertifikaat opgedateer is.
Uitgebreide leesstof:
Hoop Chen Weiliang Blog ( https://www.chenweiliang.com/ ) gedeel "Let's Encrypt hernu nie outomaties nie?Dateer Wildcard Certificate Renewal Script op" om jou te help.
Welkom om die skakel van hierdie artikel te deel:https://www.chenweiliang.com/cwl-1199.html
Welkom by die Telegram-kanaal van Chen Weiliang se blog om die nuutste opdaterings te kry!
📚 Hierdie gids bevat groot waarde, 🌟Dit is 'n seldsame geleentheid, moet dit nie misloop nie! ⏰⌛💨
Share en like as jy wil!
Jou deel en laaiks is ons voortdurende motivering!