Ĉu Let's Encrypt renovigas aŭtomate?Ĝisdatigu ĵokeran atestilrenovigskripton

solvita lastan fojonMalsukcesis apliki por instali Ni Ĉifri Erarmesaĝon: Problemo de AutoSSL MalsukcesisPost la DNS-problemo, ĉi tiu senpaga SSL-atestilo havas kelkajn problemojn por solvi.

CWP KontrolpaneloOrigine, ŝajnis, ke la atestilo Let's Encrypt estis aŭtomate renovigita antaŭ ol ĝi eksvalidiĝis.Tamen, hieraŭ, Let's Encrypt ne aŭtomate renovigis la atestilon.SEOLa trafiko falis akre, sed feliĉe ĝi povas esti reakirita post kiam la solvo estas fiksita.

Kio estas Ni Ĉifri?

Let's Encrypt estas senpaga, aŭtomatigita kaj malfermita Atestila Aŭtoritato (CA) provizita de la neprofitcela Interreta Sekureca Esplorgrupo (ISRG).

Simple dirite, HTTPS (SSL/TLS) povas esti ebligita por nia retejo senpage helpe de atestilo eldonita de Let's Encrypt.

La emisio/renovigo de senpagaj atestiloj de Let's Encrypt estas aŭtomatigita per skriptoj. Let's Encrypt oficiale rekomendas uzi la klienton Certbot por elsendi atestojn.

La sekvanta estas lernilo pri kiel apliki por Let's Encrypt senpagan SSL-atestilon▼

Kiel kandidatiĝi por Let's Encrypt?Ni Ĉifri SSL Senpaga Atestilo Principo & Instalado Lernilo

Kiel kandidatiĝi por Let's Encrypt?Ni Ĉifri SSL-Atestilo-Principo kaj Instala Lernilo Kio estas SSL?La antaŭa artikolo de Chen Weiliang "Kio estas la diferenco inter http kaj https? Ĝi estas menciita en la "Detala Klarigo de SSL Ĉifrada Procezo".Krom retkomercaj retejoj devas aĉeti premium...

Kio estas Let's Encrypt ĵokera atestilo?

Antaŭ ol aperis ĵokeraj atestiloj, Let's Encrypt nur subtenis 2 atestojn:

1. Ununura Domajna Atestilo: La atestilo enhavas nur unu gastiganton.
2. SAN-atestilo: Ankaŭ konata kiel domajna nomo atestilo, atestilo povas inkluzivi plurajn gastigantojn (Ni Ĉifri limo estas 20).

Por individuaj uzantoj, ĉar ne estas tro da gastigantoj, tute ne estas problemo uzi SAN-atestojn, sed por grandaj kompanioj estas iuj problemoj:

1. Estas multaj subdomajnoj, kaj eble necesos uzi novan gastiganton laŭlonge de la tempo.
2. Estas ankaŭ multaj registritaj domajnoj.

Por grandaj entreprenoj, SAN-atestiloj eble ne kontentigas la bezonojn, kaj ĉiuj gastigantoj estas enhavitaj en unu atestilo, kiu ne povas esti kontentigita per Let's Encrypt atestiloj (limo 20).

Wildcard-atestiloj estas atestiloj kiuj povas enhavi ĵokeron:

• Ekzemple *.example.com, *.example.cn,Uzu * por aŭtomate kongrui kun ĉiuj subdomajnoj;
• Grandaj entreprenoj ankaŭ povas uzi ĵokerajn atestilojn, kaj unu SSL-atestilo povas meti pli da gastigantoj.

Diferenco inter ĵokera atestilo kaj SAN-atestilo

1. Wildcard-Atestiloj - Wildcard-atestiloj estas vaste uzataj por protekti plurajn subdomajnojn sub unika plene kvalifikita domajna nomo.La avantaĝo de ĉi tiu speco de atestilo estas, ke ĝi ne nur faciligas administradon de atestiloj, sed ĝi ankaŭ helpas vin redukti viajn superkostojn.Ĝi protektas viajn nunajn kaj estontajn subdomajnojn ĉiam.
2. SAN-atestiloj - SAN-atestiloj (ankaŭ konataj kiel plur-domajnaj atestiloj) estas uzataj por sekurigi plurajn domajnojn per ununura atestilo.Ili diferencas de ĵokeraj atestiloj pro tio ke ili subtenas ĉiujnsenlimasubdomajnoj. SAN nur subtenas la plene kvalifikitan domajnan nomon enigitan en la atestilo. SAN-atestiloj estas impresaj ĉar uzante ilin vi povas protekti pli ol 100 malsamajn plene kvalifikitajn domajnajn nomojn per ununura atestilo; tamen, la kvanto de protekto dependas de la eldonanta atestila aŭtoritato.

kiel aplikiLasita-a KryriWildcard-atestilo?

Por efektivigi ĵokerajn atestilojn, Let's Encrypt ĝisdatigis la efektivigon de la ACME-protokolo, kaj nur la v2-protokolo povas subteni ĵokerajn atestojn.

Tio estas, ĉiu kliento povas peti ĵokeran atestilon kondiĉe ke ĝi subtenas ACME v2.

Elŝutu Certbot-Auto

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto --version

Ni Ĉifri Wildcard Certificate Script

git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au
cd certbot-letencrypt-wildcardcertificates-alydns-au
chmod 0777 au.sh

Ni Ĉifri ĵokera atestilo eksvalidiĝo tempigo renovigo skripto

La skripto ĉi tie estas servilo kompilita kaj instalita de nginx aŭ instalita per Docker, prokurilo https per la gastiganta prokurilo aŭ ŝarĝa ekvilibra gastiganto, aŭtomate kopiu la SSL-atestilon kaj rekomencu la prokurilon Nginx.

• Noto: La skripto efektive uzas la ./certbot-auto renew

#!/usr/bin/env bash

cmd="$HOME/certbot-auto" 
restartNginxCmd="docker restart ghost_nginx_1"
action="renew"
auth="$HOME/certbot/au.sh php aly add"
cleanup="$HOME/certbot/au.sh php aly clean"
deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd"

$cmd $action \
--manual \
--preferred-challenges dns \
--deploy-hook \
"$deploy"\
--manual-auth-hook \
"$auth" \
--manual-cleanup-hook \
"$cleanup"

Aliĝi kroniko, redakti dosiero▼

/etc/crontab

#证书有效期<30天才会renew，所以crontab可以配置为1天或1周
0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh

Rekonstruo de agordo de CWP-servilo

Jen la paŝoj por CWP por rekonstrui la nginx/apache-servilon:

Paŝo 1: Sur la maldekstra flanko de la CWP-Kontrolpanelo, alklaku RetServilo-Agordojn → Elektu Retservilojn ▼

paŝo 2:选择 Nginx & Varnish & Apache ▼

paŝo 3:Alklaku la butonon "Konservi & Rekonstrui Agordon" ĉe la malsupro por konservi kaj rekonstrui la agordon.

• Refreŝigu la retejon kaj vi vidos, ke la limdato de la SSL-atestilo estis ĝisdatigita.

Plilongigita legado:

Linukso Crontab regule plenumas skriptajn taskokomandojn kaj fiksas uzadon de agordaj dosieroj

La enkonstruita cron-procezo de Linukso povas helpi nin plenumi la bezonojn de ekzekuto de planitaj taskoj.Per uzado de cron kaj shell-skriptoj, ne estas problemo regule ekzekuti tre kompleksajn taskomandojn.Kio estas Cron?Kion ni ofte uzas estas la komando crontab, kiu estas cron ta...