Let's Encrypt se renouvelle-t-il automatiquement ?Mettre à jour le script de renouvellement de certificat générique

résolu la dernière foisÉchec de la demande d'installation de Let's Encrypt Message d'erreur : Échec du problème AutoSSLAprès le problème DNS, ce certificat SSL gratuit a quelques problèmes à résoudre.

Panneau de configuration CWPÀ l'origine, il semblait que le certificat Let's Encrypt était automatiquement renouvelé avant son expiration, mais hier, Let's Encrypt n'a pas renouvelé automatiquement le certificat.SEOLe trafic a fortement chuté, mais heureusement, il peut être récupéré une fois la solution corrigée.

Qu'est-ce que Let's Encrypt ?

Let's Encrypt est une autorité de certification (CA) gratuite, automatisée et ouverte fournie par l'Internet Security Research Group (ISRG) à but non lucratif.

En termes simples, HTTPS (SSL/TLS) peut être activé gratuitement pour notre site Web à l'aide d'un certificat émis par Let's Encrypt.

L'émission/renouvellement des certificats gratuits Let's Encrypt est automatisé par des scripts. Let's Encrypt recommande officiellement d'utiliser le client Certbot pour émettre les certificats.

Ce qui suit est un tutoriel sur la façon de demander un certificat SSL gratuit Let's Encrypt▼

Comment s'inscrire à Let's Encrypt ?

Comment postuler à Let's Encrypt ?Let's Encrypt SSL Certificate Principe & Tutoriel d'installation Qu'est-ce que SSL ?L'article précédent de Chen Weiliang "Quelle est la différence entre http et https ? Il est mentionné dans "l'explication détaillée du processus de cryptage SSL".Sauf que les sites de commerce électronique doivent acheter du premium...

Qu'est-ce qu'un certificat générique Let's Encrypt ?

Avant l'apparition des certificats génériques, Let's Encrypt ne prenait en charge que 2 certificats :

1. Certificat de domaine unique : le certificat contient un seul hôte.
2. Certificat SAN : également connu sous le nom de certificat de nom de domaine, un certificat peut inclure plusieurs hôtes (la limite de Let's Encrypt est de 20).

Pour les utilisateurs individuels, puisqu'il n'y a pas trop d'hôtes, il n'y a aucun problème à utiliser les certificats SAN, mais pour les grandes entreprises, il y a quelques problèmes :

1. Il existe de nombreux sous-domaines et un nouvel hôte peut être nécessaire au fil du temps.
2. Il existe également de nombreux domaines enregistrés.

Pour les grandes entreprises, les certificats SAN peuvent ne pas répondre aux besoins, et tous les hôtes sont contenus dans un seul certificat, ce qui ne peut pas être satisfait en utilisant les certificats Let's Encrypt (limite 20).

Les certificats génériques sont des certificats pouvant contenir un caractère générique :

• Par exemple *.example.com, *.example.cn,Utilisez * pour faire correspondre automatiquement tous les sous-domaines ;
• Les grandes entreprises peuvent également utiliser des certificats génériques, et un certificat SSL peut placer plusieurs hôtes.

Différence entre le certificat générique et le certificat SAN

1. Certificats génériques - Les certificats génériques sont largement utilisés pour protéger plusieurs sous-domaines sous un nom de domaine complet unique.L'avantage de ce type de certificat est non seulement qu'il facilite la gestion des certificats, mais qu'il vous aide également à réduire vos frais généraux.Il protège à tout moment vos sous-domaines actuels et futurs.
2. Certificats SAN - Les certificats SAN (également appelés certificats multi-domaines) sont utilisés pour sécuriser plusieurs domaines avec un seul certificat.Ils diffèrent des certificats génériques en ce sens qu'ils prennent en charge tous无限sous-domaines. Le SAN ne prend en charge que le nom de domaine complet saisi dans le certificat. Les certificats SAN sont impressionnants car en les utilisant, vous pouvez protéger plus de 100 noms de domaine complets différents avec un seul certificat ; cependant, le degré de protection dépend de l'autorité de certification émettrice.

comment s'inscrireChiffronsCertificat Wildcard ?

Afin d'implémenter des certificats génériques, Let's Encrypt a mis à niveau l'implémentation du protocole ACME, et seul le protocole v2 peut prendre en charge les certificats génériques.

C'est-à-dire que n'importe quel client peut demander un certificat générique tant qu'il prend en charge ACME v2.

Télécharger Certbot-Auto

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto --version

Let's Encrypt Wildcard Certificate Script

git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au
cd certbot-letencrypt-wildcardcertificates-alydns-au
chmod 0777 au.sh

Script de renouvellement du délai d'expiration du certificat générique Let's Encrypt

Le script ici est un serveur compilé et installé par nginx ou installé via Docker, proxy https via le proxy hôte ou l'hôte d'équilibrage de charge, sauvegarde automatiquement le certificat SSL et redémarre le serveur proxy Nginx.

• Remarque : Le script utilise en fait le ./certbot-auto renew

#!/usr/bin/env bash

cmd="$HOME/certbot-auto" 
restartNginxCmd="docker restart ghost_nginx_1"
action="renew"
auth="$HOME/certbot/au.sh php aly add"
cleanup="$HOME/certbot/au.sh php aly clean"
deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd"

$cmd $action \
--manual \
--preferred-challenges dns \
--deploy-hook \
"$deploy"\
--manual-auth-hook \
"$auth" \
--manual-cleanup-hook \
"$cleanup"

加入 crontab, modifier le fichier▼

/etc/crontab

#证书有效期<30天才会renew，所以crontab可以配置为1天或1周
0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh

Reconstruction de la configuration du serveur CWP

Voici les étapes pour que CWP reconstruise le serveur nginx/apache :

Étape 1 : Sur le côté gauche du panneau de configuration CWP, cliquez sur Paramètres du serveur Web → Sélectionnez les serveurs Web ▼

2 步：选择 Nginx & Vernis & Apache ▼

3 步：Cliquez sur le bouton "Enregistrer et reconstruire la configuration" en bas pour enregistrer et reconstruire la configuration.

• Actualisez le site Web et vous verrez que la date d'expiration du certificat SSL a été mise à jour.

Lecture complémentaire :

Linux Crontab exécute régulièrement les commandes de tâche de script et définit l'utilisation du fichier de configuration

Le processus cron intégré de Linux peut nous aider à répondre aux besoins d'exécution de tâches planifiées. En utilisant des scripts cron et shell, il n'y a aucun problème à exécuter régulièrement des commandes de tâches très complexes.Qu'est-ce que Cron ?Ce que nous utilisons souvent est la commande crontab, cron ta...