Каталог артыкулаў
вырашана ў мінулы разНе ўдалося падаць заяўку на ўсталяванне Let's Encrypt. Паведамленне пра памылку: праблема з AutoSSL не атрымаласяПасля праблемы з DNS гэты бясплатны сертыфікат SSL павінен вырашыць некаторыя праблемы.
Панэль кіравання CWPПершапачаткова здавалася, што сертыфікат Let's Encrypt быў аўтаматычна абноўлены да заканчэння тэрміну дзеяння. Аднак учора Let's Encrypt не аднавіў аўтаматычна сертыфікат.SEOТрафік рэзка ўпаў, але, на шчасце, яго можна аднавіць пасля выпраўлення рашэння.
Што такое Let's Encrypt?
Let's Encrypt - гэта бясплатны, аўтаматызаваны і адкрыты цэнтр сертыфікацыі (CA), прадастаўлены некамерцыйнай Даследчай групай бяспекі ў Інтэрнэце (ISRG).
Прасцей кажучы, HTTPS (SSL/TLS) можна ўключыць для нашага сайта бясплатна з дапамогай сертыфіката, выдадзенага Let's Encrypt.
Выдача/абнаўленне бясплатных сертыфікатаў Let's Encrypt аўтаматызавана з дапамогай скрыптоў. Let's Encrypt афіцыйна рэкамендуе выкарыстоўваць для выдачы сертыфікатаў кліент Certbot.
Далей прыводзіцца падручнік аб тым, як падаць заяўку на бясплатны сертыфікат SSL ад Let's Encrypt▼
Што такое падстаноўны сертыфікат Let's Encrypt?
Да з'яўлення падстаноўных сертыфікатаў Let's Encrypt падтрымлівала толькі 2 сертыфікаты:
- Сертыфікат аднаго дамена: сертыфікат змяшчае толькі адзін хост.
- Сертыфікат SAN: таксама вядомы як сертыфікат даменнага імя, сертыфікат можа ўключаць некалькі хастоў (абмежаванне Let's Encrypt складае 20).
Для індывідуальных карыстальнікаў, паколькі хастоў не занадта шмат, няма ніякіх праблем з выкарыстаннем сертыфікатаў SAN, але для буйных кампаній ёсць некаторыя праблемы:
- Ёсць шмат субдаменаў, і з часам можа спатрэбіцца новы хост.
- Таксама ёсць шмат зарэгістраваных даменаў.
Для буйных прадпрыемстваў сертыфікаты SAN могуць не адпавядаць патрэбам, і ўсе хасты ўтрымліваюцца ў адным сертыфікаце, што не можа быць задаволена сертыфікатамі Let's Encrypt (абмежаванне 20).
Сертыфікаты падстаноўкі - гэта сертыфікаты, якія могуць утрымліваць сімвал падстаноўкі:
- Напрыклад *.example.com, *.example.cn,Выкарыстоўвайце * для аўтаматычнага супастаўлення ўсіх субдаменаў;
- Буйныя прадпрыемствы таксама могуць выкарыстоўваць падстаноўныя сертыфікаты, і адзін сертыфікат SSL можа размясціць больш хастоў.
Розніца паміж сертыфікатам падстаноўкі і сертыфікатам SAN
- Сертыфікаты падстаноўкі - сертыфікаты падстаноўкі шырока выкарыстоўваюцца для абароны некалькіх субдаменаў пад унікальным поўным даменным імем.Перавага гэтага тыпу сертыфіката заключаецца ў тым, што ён не толькі палягчае кіраванне сертыфікатамі, але і дапамагае знізіць накладныя выдаткі.Ён увесь час абараняе вашы бягучыя і будучыя субдамены.
- Сертыфікаты SAN - сертыфікаты SAN (таксама вядомыя як шматдаменныя сертыфікаты) выкарыстоўваюцца для абароны некалькіх даменаў з дапамогай аднаго сертыфіката.Яны адрозніваюцца ад падстаноўных сертыфікатаў тым, што падтрымліваюць усенеабмежаванысубдамены. SAN падтрымлівае толькі поўнае даменнае імя, уведзенае ў сертыфікат. Сертыфікаты SAN уражваюць, таму што з іх дапамогай вы можаце абараніць больш за 100 розных цалкам кваліфікаваных даменных імёнаў з дапамогай аднаго сертыфіката; аднак ступень абароны залежыць ад выдаўца сертыфіката.
як падаць заяўкудавайце EncryptСертыфікат падстаноўкі?
Каб укараніць падстаноўныя сертыфікаты, Let's Encrypt абнавіла рэалізацыю пратакола ACME, і толькі пратакол v2 можа падтрымліваць падстаноўныя сертыфікаты.
Гэта значыць, любы кліент можа падаць заяўку на сертыфікат падстаноўкі, калі ён падтрымлівае ACME v2.
Спампаваць Certbot-Auto
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto --version
Давайце зашыфруем сцэнар сертыфіката падстаноўкі
git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au cd certbot-letencrypt-wildcardcertificates-alydns-au chmod 0777 au.sh
Сцэнар абнаўлення часу заканчэння тэрміну дзеяння сертыфіката Let's Encrypt
Сцэнар тут уяўляе сабой сервер, скампіляваны і ўсталяваны nginx або ўсталяваны праз Docker, проксі-сервер https праз проксі-сервер хаста або хост балансавання нагрузкі, аўтаматычнае рэзервовае капіраванне сертыфіката SSL і перазапуск проксі-сервера Nginx.
- Заўвага: скрыпт фактычна выкарыстоўвае
./certbot-auto renew
#!/usr/bin/env bash cmd="$HOME/certbot-auto" restartNginxCmd="docker restart ghost_nginx_1" action="renew" auth="$HOME/certbot/au.sh php aly add" cleanup="$HOME/certbot/au.sh php aly clean" deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd" $cmd $action \ --manual \ --preferred-challenges dns \ --deploy-hook \ "$deploy"\ --manual-auth-hook \ "$auth" \ --manual-cleanup-hook \ "$cleanup"
далучыцца кронтаб, рэдагаваць файл▼
/etc/crontab
#证书有效期<30天才会renew,所以crontab可以配置为1天或1周 0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh
Перабудова канфігурацыі сервера CWP
Вось крокі для CWP, каб перабудаваць сервер nginx/apache:
Крок 1: У левай частцы панэлі кіравання CWP націсніце Налады вэб-сервера → Выберыце вэб-серверы ▼
Крок 2:选择 Nginx & Varnish & Apache ▼
Крок 3:Націсніце кнопку «Захаваць і перабудаваць канфігурацыю» ўнізе, каб захаваць і аднавіць канфігурацыю.
- Абнавіце вэб-сайт, і вы ўбачыце, што тэрмін дзеяння сертыфіката SSL быў абноўлены.
Пашыранае чытанне:
Блог Hope Chen Weiliang ( https://www.chenweiliang.com/ ) падзяліўся «Let's Encrypt не падаўжаецца аўтаматычна?Абнавіць сцэнар абнаўлення сертыфіката падстаноўкі", каб дапамагчы вам.
Запрашаем падзяліцца спасылкай на гэты артыкул:https://www.chenweiliang.com/cwl-1199.html
Сардэчна запрашаем на канал Telegram у блогу Чэнь Вэйляна, каб атрымліваць апошнія абнаўленні!
📚 Гэты дапаможнік мае вялікую каштоўнасць, 🌟Гэта рэдкая магчымасць, не прапусціце яе! ⏰⌛💨
Падзяліцеся і лайкайце, калі хочаце!
Ваш абмен і лайкі - наша пастаянная матывацыя!