Directorio de artigos
resolto a última vezNon se puido solicitar a instalación de Let's Encrypt Mensaxe de erro: Fallou o problema de AutoSSLDespois do problema do DNS, este certificado SSL gratuíto ten algúns problemas que resolver.
Panel de control CWPOrixinalmente, parecía que o certificado de Let's Encrypt se renovaba automaticamente antes de caducar, pero onte, Let's Encrypt non renovou automaticamente o certificado.SEOO tráfico baixou moito, pero afortunadamente pódese recuperar despois de que se arranxe a solución.
Que é Let's Encrypt?
Let's Encrypt é unha Autoridade de Certificación (CA) gratuíta, automatizada e aberta proporcionada pola organización sen ánimo de lucro Internet Security Research Group (ISRG).
En pocas palabras, HTTPS (SSL/TLS) pódese activar para o noso sitio web de forma gratuíta coa axuda dun certificado emitido por Let's Encrypt.
A emisión/renovación dos certificados gratuítos de Let's Encrypt está automatizada mediante scripts. Let's Encrypt recomenda oficialmente utilizar o cliente Certbot para emitir certificados.
O seguinte é un tutorial sobre como solicitar un certificado SSL gratuíto de Let's Encrypt▼
Que é un certificado comodín de Let's Encrypt?
Antes de que aparecesen os certificados comodíns, Let's Encrypt só admitía 2 certificados:
- Certificado de dominio único: o certificado contén só un servidor.
- Certificado SAN: tamén coñecido como certificado de nome de dominio, un certificado pode incluír varios hosts (o límite de Let's Encrypt é 20).
Para usuarios individuais, xa que non hai demasiados hosts, non hai absolutamente ningún problema co uso de certificados SAN, pero para as grandes empresas hai algúns problemas:
- Hai moitos subdominios e é posible que se requira un novo host co paso do tempo.
- Tamén hai moitos dominios rexistrados.
Para as grandes empresas, os certificados SAN poden non satisfacer as necesidades e todos os hosts están contidos nun certificado, que non se pode satisfacer mediante os certificados Let's Encrypt (límite 20).
Os certificados comodín son certificados que poden conter un comodín:
- Por exemplo *.example.com, *.example.cn,Use * para facer coincidir automaticamente todos os subdominios;
- As grandes empresas tamén poden usar certificados comodín e un certificado SSL pode colocar máis hosts.
Diferenza entre o certificado comodín e o certificado SAN
- Certificados de comodín: os certificados de comodín úsanse amplamente para protexer varios subdominios baixo un nome de dominio único e totalmente cualificado.A vantaxe deste tipo de certificados é que non só facilita a xestión dos certificados, senón que tamén che axuda a reducir os teus custos xerais.Protexe os teus subdominios actuais e futuros en todo momento.
- Certificados SAN: os certificados SAN (tamén coñecidos como certificados multidominio) úsanse para protexer varios dominios cun único certificado.Diferéncianse dos certificados comodín en que admiten todosilimitadosubdominios. SAN só admite o nome de dominio totalmente cualificado introducido no certificado. Os certificados SAN son impresionantes porque utilizalos pode protexer máis de 100 nomes de dominio totalmente cualificados diferentes cun único certificado; non obstante, a cantidade de protección depende da autoridade de certificación emisora.
como aplicarImos cifrarCertificado comodín?
Para implementar certificados comodín, Let's Encrypt actualizou a implementación do protocolo ACME e só o protocolo v2 pode admitir certificados comodín.
É dicir, calquera cliente pode solicitar un certificado comodín sempre que admita ACME v2.
Descargar Certbot-Auto
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto --version
Imos cifrar o script de certificado comodín
git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au cd certbot-letencrypt-wildcardcertificates-alydns-au chmod 0777 au.sh
Imos cifrar o script de renovación do tempo de caducidade do certificado comodín
O script aquí é un servidor compilado e instalado por nginx ou instalado a través de Docker, proxy https a través do servidor proxy ou do host de equilibrio de carga, fai unha copia de seguranza automática do certificado SSL e reinicia o servidor proxy de Nginx.
- Nota: o script realmente usa o
./certbot-auto renew
#!/usr/bin/env bash cmd="$HOME/certbot-auto" restartNginxCmd="docker restart ghost_nginx_1" action="renew" auth="$HOME/certbot/au.sh php aly add" cleanup="$HOME/certbot/au.sh php aly clean" deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd" $cmd $action \ --manual \ --preferred-challenges dns \ --deploy-hook \ "$deploy"\ --manual-auth-hook \ "$auth" \ --manual-cleanup-hook \ "$cleanup"
Únete crontab, editar ficheiro▼
/etc/crontab
#证书有效期<30天才会renew,所以crontab可以配置为1天或1周 0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh
Reconstrución da configuración do servidor CWP
Estes son os pasos para que CWP reconstruya o servidor nginx/apache:
Paso 1: no lado esquerdo do Panel de control de CWP, faga clic en Configuración do servidor web → Seleccione servidores web ▼
Capitulo 2:seleccionar Nginx e Varnish e Apache ▼
Capitulo 3:Fai clic no botón "Gardar e reconstruír a configuración" na parte inferior para gardar e reconstruír a configuración.
- Actualiza o sitio web e verás que se actualizou a data de caducidade do certificado SSL.
Lectura ampliada:
Blog de Hope Chen Weiliang ( https://www.chenweiliang.com/ ) compartiu "Let's Encrypt non se renova automaticamente?Actualiza o script de renovación do certificado comodín" para axudarche.
Benvido a compartir a ligazón deste artigo:https://www.chenweiliang.com/cwl-1199.html
Benvido á canle de Telegram do blog de Chen Weiliang para recibir as últimas actualizacións.
📚 Esta guía contén un gran valor, 🌟Esta é unha oportunidade rara, non a perdas! ⏰⌛💨
Comparte e da like se che gusta!
O teu compartir e gústame son a nosa motivación continua!