Artikel Directory
lêste kear oplostMislearre oanfreegje om te ynstallearjen Let's Encrypt Flaterberjocht: AutoSSL-probleem mislearreNei it DNS-probleem hat dit fergese SSL-sertifikaat wat problemen op te lossen.
CWP Control PanelOarspronklik like it derop dat it Let's Encrypt-sertifikaat automatysk fernijd waard foardat it ferrûn is. Let's Encrypt hat juster lykwols it sertifikaat net automatysk fernijd.SEOIt ferkear is bot sakke, mar it kin gelokkich weromhelle wurde neidat de oplossing fêst is.
Wat is Let's Encrypt?
Let's Encrypt is in fergese, automatisearre en iepen Certificate Authority (CA) levere troch de non-profit Internet Security Research Group (ISRG).
Simply set, HTTPS (SSL / TLS) kin fergees wurde ynskeakele foar ús webside mei help fan in sertifikaat útjûn troch Let's Encrypt.
De útjefte/fernijing fan Let's Encrypt fergese sertifikaten wurdt automatisearre troch skripts. Let's Encrypt advisearret offisjeel de Certbot-kliïnt te brûken om sertifikaten út te jaan.
It folgjende is in tutorial oer hoe't jo kinne oanfreegje foar in Let's Encrypt fergees SSL-sertifikaat▼
Wat is in Let's Encrypt wildcard-sertifikaat?
Foardat jokertekensertifikaten ferskynden, stipe Let's Encrypt allinich 2 sertifikaten:
- Single Domain Certificate: It sertifikaat befettet mar ien host.
- SAN-sertifikaat: Ek bekend as domeinnammesertifikaat, in sertifikaat kin meardere hosts omfetsje (Litte wy de limyt fersiferje is 20).
Foar yndividuele brûkers, om't d'r net te folle hosts binne, is d'r absoluut gjin probleem mei it brûken fan SAN-sertifikaten, mar foar grutte bedriuwen binne d'r wat problemen:
- D'r binne in protte subdomeinen, en it kin nedich wêze om in nije host yn 'e rin fan' e tiid te brûken.
- D'r binne ek in protte registrearre domeinen.
Foar grutte bedriuwen foldogge SAN-sertifikaten miskien net oan 'e behoeften, en alle hosts binne befette yn ien sertifikaat, dat kin net tefreden wurde troch it brûken fan Let's Encrypt-sertifikaten (limyt 20).
Wildcard-sertifikaten binne sertifikaten dy't in jokerteken befetsje kinne:
- Bygelyks *.example.com, *.example.cn,Brûk * om automatysk oerien te kommen mei alle subdomeinen;
- Grutte bedriuwen kinne ek wildcard-sertifikaten brûke, en ien SSL-sertifikaat kin mear hosts pleatse.
Ferskil tusken wildcard sertifikaat en SAN sertifikaat
- Wildcard-sertifikaten - Wildcard-sertifikaten wurde breed brûkt om meardere subdomeinen te beskermjen ûnder in unike folslein kwalifisearre domeinnamme.It foardiel fan dit soarte sertifikaat is dat it net allinich it behearen fan sertifikaten maklik makket, mar it helpt jo ek jo overheadkosten te ferminderjen.It beskermet jo hjoeddeistige en takomstige subdomeinen altyd.
- SAN-sertifikaten - SAN-sertifikaten (ek wol multi-domein-sertifikaten neamd) wurde brûkt om meardere domeinen te befeiligjen mei ien sertifikaat.Se ferskille fan jokertekensertifikaten yn dat se allegear stypjeûnbeheindsubdomeinen. SAN stipet allinich de folslein kwalifisearre domeinnamme ynfierd yn it sertifikaat. SAN-sertifikaten binne yndrukwekkend, om't jo se brûke kinne jo mear dan 100 ferskillende folslein kwalifisearre domeinnammen beskermje mei ien sertifikaat; de hoemannichte beskerming hinget lykwols ôf fan 'e útjaan fan sertifikaatautoriteit.
hoe sollisitearjeLet's EncryptWildcard sertifikaat?
Om jokertekensertifikaten út te fieren, hat Let's Encrypt de ymplemintaasje fan it ACME-protokol opwurdearre, en allinich it v2-protokol kin jokertekensertifikaten stypje.
Dat wol sizze, elke klant kin oanfreegje foar in wildcard-sertifikaat salang't it ACME v2 stipet.
Download Certbot-Auto
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto --version
Litte wy Wildcard Certificate Script fersiferje
git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au cd certbot-letencrypt-wildcardcertificates-alydns-au chmod 0777 au.sh
Lit ús fersiferje jokerteken sertifikaat ferfaldatum fernijing skript
It skript hjir is in server kompilearre en ynstalleare troch nginx of ynstalleare fia Docker, proxy https fia de host-proxy of load-balancing-host, automatysk in reservekopy fan it SSL-sertifikaat, en start de Nginx proxy-tsjinner op 'e nij.
- Opmerking: It skript brûkt eins de
./certbot-auto renew
#!/usr/bin/env bash cmd="$HOME/certbot-auto" restartNginxCmd="docker restart ghost_nginx_1" action="renew" auth="$HOME/certbot/au.sh php aly add" cleanup="$HOME/certbot/au.sh php aly clean" deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd" $cmd $action \ --manual \ --preferred-challenges dns \ --deploy-hook \ "$deploy"\ --manual-auth-hook \ "$auth" \ --manual-cleanup-hook \ "$cleanup"
Doch mei crontab, bestân bewurkje▼
/etc/crontab
#证书有效期<30天才会renew,所以crontab可以配置为1天或1周 0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh
CWP tsjinner konfiguraasje werbou
Hjir binne de stappen foar CWP om de nginx/apache-tsjinner opnij op te bouwen:
Stap 1: Klik op 'e lofterkant fan it CWP Control Panel WebServer Settings → Selektearje WebServers ▼
第 2 步:útkieze Nginx & Varnish & Apache ▼
第 3 步:Klikje op de knop "Konfiguraasje opslaan en opnij bouwe" ûnderoan om de konfiguraasje op te slaan en opnij op te bouwen.
- Ferfarskje de webside en jo sille sjen dat de ferfaldatum fan it SSL-sertifikaat is bywurke.
Utwreide lêzing:
Hope Chen Weiliang Blog ( https://www.chenweiliang.com/ ) dield "Let's Encrypt net automatysk fernije?Update Wildcard Certificate Renewal Script" om jo te helpen.
Wolkom om de keppeling fan dit artikel te dielen:https://www.chenweiliang.com/cwl-1199.html
Wolkom by it Telegram-kanaal fan Chen Weiliang's blog om de lêste updates te krijen!
📚 Dizze hantlieding befettet enoarme wearde, 🌟Dit is in seldsume kâns, mis it net! ⏰⌛💨
Diel en like as jo wolle!
Jo dielen en likes binne ús trochgeande motivaasje!