Let's Encrypt подновява ли се автоматично?Актуализирайте скрипта за подновяване на сертификат със заместващ знак

решен миналия пътНеуспешно прилагане за инсталиране на Let's Encrypt Съобщение за грешка: Проблем с AutoSSL неуспешенСлед проблема с DNS, този безплатен SSL сертификат има някои проблеми за разрешаване.

CWP контролен панелПървоначално изглеждаше, че сертификатът на Let's Encrypt е бил автоматично подновен, преди да изтече.Вчера обаче Let's Encrypt не поднови автоматично сертификата.SEO РангТрафикът спадна рязко, но за щастие може да бъде възстановен след коригиране на решението.

Какво е Let's Encrypt?

Let's Encrypt е безплатен, автоматизиран и отворен орган за сертифициране (CA), предоставен от нестопанската група за изследване на интернет сигурността (ISRG).

Просто казано, HTTPS (SSL/TLS) може да бъде активиран безплатно за нашия уебсайт с помощта на сертификат, издаден от Let's Encrypt.

Издаването/подновяването на безплатните сертификати Let's Encrypt е автоматизирано чрез скриптове Let's Encrypt официално препоръчва използването на клиента Certbot за издаване на сертификати.

Следва урок за това как да кандидатствате за безплатен SSL сертификат на Let's Encrypt▼

🔗Как да кандидатствате за Let's Encrypt? Принцип и урок за инсталиране на Let's Encrypt SSL

Какво е сертификат със заместващ символ на Let's Encrypt?

Преди да се появят сертификатите със заместващи символи, Let's Encrypt поддържаше само 2 сертификата:

1. Сертификат за единичен домейн: Сертификатът съдържа само един хост.
2. SAN сертификат: известен още като сертификат за име на домейн, един сертификат може да включва множество хостове (лимитът на Let's Encrypt е 20).

За отделните потребители, тъй като няма твърде много хостове, няма абсолютно никакъв проблем с използването на SAN сертификати, но за големите компании има някои проблеми:

1. Има много поддомейни и с времето може да се наложи нов хост.
2. Има и много регистрирани домейни.

За големи предприятия SAN сертификатите може да не отговарят на нуждите и всички хостове се съдържат в един сертификат, който не може да бъде удовлетворен чрез използване на Let's Encrypt сертификати (ограничение 20).

Сертификатите със заместващ знак са сертификати, които могат да съдържат заместващ знак:

• Например *.example.com, *.example.cn,Използвайте * за автоматично съпоставяне на всички поддомейни;
• Големите предприятия могат също да използват заместващи сертификати, а един SSL сертификат може да постави повече хостове.

Разлика между сертификат със заместващ символ и SAN сертификат

1. Сертификати с заместващ знак - сертификатите с заместващ знак се използват широко за защита на множество поддомейни под уникално напълно квалифицирано име на домейн.Предимството на този тип сертификат е, че не само прави управлението на сертификати лесно, но също така ви помага да намалите режийните си разходи.Той защитава вашите настоящи и бъдещи поддомейни по всяко време.
2. SAN сертификати - SAN сертификатите (известни също като мултидомейн сертификати) се използват за защита на множество домейни с един сертификат.Те се различават от сертификатите със заместващи символи по това, че поддържат всичкинеограниченподдомейни. SAN поддържа само пълно квалифицирано име на домейн, въведено в сертификата. SAN сертификатите са впечатляващи, защото с помощта им можете да защитите над 100 различни напълно квалифицирани имена на домейни с един сертификат; степента на защита обаче зависи от издаващия сертификатен орган.

как да кандидатствамНека да шифровамеСертификат със заместващ знак?

За да внедри сертификати със заместващи символи, Let's Encrypt надгради изпълнението на протокола ACME и само протоколът v2 може да поддържа сертификати със заместващи символи.

Тоест, всеки клиент може да кандидатства за сертификат със заместващ знак, стига да поддържа ACME v2.

Изтеглете Certbot-Auto

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto --version

Да шифроваме скрипта на сертификат с заместващи символи

git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au
cd certbot-letencrypt-wildcardcertificates-alydns-au
chmod 0777 au.sh

Let's Encrypt скрипт за подновяване на времето за изтичане на сертификата със заместващ знак

Скриптът тук е сървър, компилиран и инсталиран от nginx или инсталиран чрез Docker, прокси https през хост прокси или хост за балансиране на натоварването, автоматично архивиране на SSL сертификата и рестартиране на Nginx прокси сървъра.

• Забележка: Скриптът всъщност използва ./certbot-auto renew

#!/usr/bin/env bash

cmd="$HOME/certbot-auto" 
restartNginxCmd="docker restart ghost_nginx_1"
action="renew"
auth="$HOME/certbot/au.sh php aly add"
cleanup="$HOME/certbot/au.sh php aly clean"
deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd"

$cmd $action \
--manual \
--preferred-challenges dns \
--deploy-hook \
"$deploy"\
--manual-auth-hook \
"$auth" \
--manual-cleanup-hook \
"$cleanup"

Присъединете се кронтаб, редактирайте файл▼

/etc/crontab

#证书有效期<30天才会renew，所以crontab可以配置为1天或1周
0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh

Възстановяване на конфигурацията на CWP сървъра

Ето стъпките за CWP за повторно изграждане на сървъра nginx/apache:

Стъпка 1: От лявата страна на контролния панел на CWP щракнете върху Настройки на уеб сървъра → Изберете уеб сървъри ▼

Стъпка 2:Изберете Nginx & Varnish & Apache ▼

Стъпка 3:Щракнете върху бутона „Запазване и възстановяване на конфигурацията“ в долната част, за да запазите и възстановите конфигурацията.

• Обновете уебсайта и ще видите, че датата на изтичане на SSL сертификата е актуализирана.

Разширено четене:

🔗Linux Crontab планирано изпълнение на скриптова команда за задача и използване на конфигурационен файл