Kas Let's Encrypt uuendatakse automaatselt?Värskendage metamärgi sertifikaadi uuendamise skripti

eelmisel korral lahendatudRakenduse Let's Encrypt installimise rakendamine ebaõnnestus: automaatse SSL-i probleem ebaõnnestusPärast DNS-i probleemi on sellel tasuta SSL-sertifikaadil mõned probleemid lahendada.

CWP juhtpaneelAlgselt tundus, et Let's Encrypti sertifikaat uuendati automaatselt enne selle aegumist, kuid eile Let's Encrypt sertifikaati automaatselt ei uuendanud.SEOLiiklus vähenes järsult, kuid õnneks saab seda pärast lahenduse parandamist taastada.

Mis on Let's Encrypt?

Let's Encrypt on tasuta, automatiseeritud ja avatud sertifitseerimiskeskus (CA), mida pakub mittetulunduslik Interneti-turvalisuse uurimisrühm (ISRG).

Lihtsamalt öeldes saab Let's Encrypti poolt väljastatud sertifikaadi abil HTTPS-i (SSL/TLS) meie veebisaidil tasuta lubada.

Let's Encrypt tasuta sertifikaatide väljastamine/uuendamine on automatiseeritud skriptidega.Ametlikult soovitab Let's Encrypt kasutada sertifikaatide väljastamiseks Certbot klienti.

Järgmine on õpetus, kuidas taotleda Let's Encrypt tasuta SSL-sertifikaati▼

Kuidas taotleda rakendust Let's Encrypt? Let's Encrypt SSL tasuta sertifikaadi põhimõte ja installiõpetus

Kuidas taotleda Let's Encrypt'i?Krüpteerime SSL-i sertifikaadi põhimõte ja installiõpetus Mis on SSL?Chen Weiliangi eelmine artikkel "Mis vahe on http ja https vahel? Seda mainitakse jaotises "SSL-i krüpteerimisprotsessi üksikasjalik selgitus".Välja arvatud poodide saidid peavad ostma lisatasu...

Mis on Let's Encrypt metamärgisertifikaat?

Enne metamärgisertifikaatide ilmumist toetas Let's Encrypt ainult kahte sertifikaati:

1. Ühe domeeni sertifikaat: sertifikaat sisaldab ainult ühte hosti.
2. SAN-sertifikaat: Tuntud ka kui domeeninime sertifikaat, võib sertifikaat sisaldada mitut hosti (krüptimise limiit on 20).

Üksikkasutajate jaoks, kuna hoste pole liiga palju, pole SAN-sertifikaatide kasutamisega probleeme, kuid suurte ettevõtete jaoks on probleeme:

1. Alamdomeene on palju ja aja jooksul võib osutuda vajalikuks kasutada uut hosti.
2. Samuti on palju registreeritud domeene.

Suurettevõtete puhul ei pruugi SAN-sertifikaadid vajadustele vastata ning kõik hostid sisalduvad ühes sertifikaadis, mida Let's Encrypt sertifikaatide abil rahuldada ei saa (piirang 20).

Metamärgisertifikaadid on sertifikaadid, mis võivad sisaldada metamärki:

• Näiteks *.example.com, *.example.cn,Kasutage kõigi alamdomeenide automaatseks sobitamiseks *;
• Suured ettevõtted saavad kasutada ka metamärgisertifikaate ja üks SSL-sertifikaat mahutab rohkem hoste.

Erinevus metamärgisertifikaadi ja SAN-sertifikaadi vahel

1. Metamärgisertifikaadid – metamärke sertifikaate kasutatakse laialdaselt mitme alamdomeeni kaitsmiseks ainulaadse täielikult kvalifitseeritud domeeninime all.Seda tüüpi sertifikaadi eeliseks on see, et see mitte ainult ei muuda sertifikaatide haldamist lihtsaks, vaid aitab teil ka üldkulusid vähendada.See kaitseb teie praegusi ja tulevasi alamdomeene kogu aeg.
2. SAN-sertifikaadid – SAN-sertifikaate (tuntud ka kui mitme domeeni sertifikaate) kasutatakse mitme domeeni kaitsmiseks ühe sertifikaadiga.Need erinevad metamärgisertifikaatidest selle poolest, et toetavad kõikipiiramatualamdomeene. SAN toetab ainult sertifikaadile sisestatud täielikult kvalifitseeritud domeeninime. SAN-sertifikaadid on muljetavaldavad, kuna neid kasutades saate ühe sertifikaadiga kaitsta üle 100 erineva täielikult kvalifitseeritud domeeninime, kuid kaitse ulatus sõltub väljastanud sertifikaadiasutusest.

kuidas kandideeridaLet's EncryptMetamärgi sertifikaadid?

Metsamärkide sertifikaatide rakendamiseks on Let's Encrypt uuendanud ACME protokolli juurutamist ja ainult v2-protokoll saab toetada metamärgisertifikaate.

See tähendab, et iga klient saab taotleda metamärgisertifikaati, kui see toetab ACME v2.

Laadige alla Certbot-Auto

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto --version

Krüpteerime metamärgi sertifikaadi skripti

git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au
cd certbot-letencrypt-wildcardcertificates-alydns-au
chmod 0777 au.sh

Krüpteerime metamärgi sertifikaadi aegumise aja uuendamise skripti

Siin olev skript on server, mille on kompileerinud ja installinud nginx või installinud Dockeri kaudu, puhverserver https hosti puhverserveri või koormuse tasakaalustamise hosti kaudu, varundab automaatselt SSL-sertifikaadi ja taaskäivitab Nginxi puhverserveri.

• Märkus: skript kasutab tegelikult ./certbot-auto renew

#!/usr/bin/env bash

cmd="$HOME/certbot-auto" 
restartNginxCmd="docker restart ghost_nginx_1"
action="renew"
auth="$HOME/certbot/au.sh php aly add"
cleanup="$HOME/certbot/au.sh php aly clean"
deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd"

$cmd $action \
--manual \
--preferred-challenges dns \
--deploy-hook \
"$deploy"\
--manual-auth-hook \
"$auth" \
--manual-cleanup-hook \
"$cleanup"

Liitu crontab, redigeeri faili▼

/etc/crontab

#证书有效期<30天才会renew，所以crontab可以配置为1天或1周
0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh

CWP-serveri konfiguratsiooni taastamine

Siin on juhised, kuidas CWP saab nginx/apache serveri uuesti üles ehitada:

1. samm: klõpsake CWP juhtpaneeli vasakus servas valikul Veebiserveri sätted → Valige veebiserverid ▼

第 2 步:Valige Nginx & Lakk & Apache ▼

第 3 步:Konfiguratsiooni salvestamiseks ja uuesti ülesehitamiseks klõpsake allosas nuppu "Salvesta ja taasta konfiguratsioon".

• Värskendage veebisaiti ja näete, et SSL-sertifikaadi aegumiskuupäev on uuendatud.

Laiendatud lugemine:

Linux Crontab täidab regulaarselt skriptiülesannete käske ja määrab konfiguratsioonifailide kasutamise

Linuxi sisseehitatud cron-protsess võib aidata meil täita ajastatud ülesannete täitmise vajadusi. Cron- ja shelliskriptide kasutamisel pole probleeme väga keeruliste ülesandekäskude korrapärase täitmisega.Mis on Cron?Sageli kasutame käsku crontab, mis on cron ta...