Cikkkönyvtár
legutóbb megoldvaNem sikerült alkalmazni a Let's Encrypt telepítéséhez Hibaüzenet: AutoSSL probléma sikertelenA DNS-probléma után ennek az ingyenes SSL-tanúsítványnak van néhány megoldandó problémája.
CWP VezérlőpultEredetileg úgy tűnt, hogy a Let's Encrypt tanúsítvány lejárta előtt automatikusan megújul, tegnap azonban a Let's Encrypt nem újította meg automatikusan a tanúsítványt.SEOA forgalom erősen visszaesett, de a megoldás javítása után szerencsére helyreállítható.
Mi az a Let's Encrypt?
A Let's Encrypt egy ingyenes, automatizált és nyílt tanúsító hatóság (CA), amelyet a non-profit Internet Security Research Group (ISRG) biztosít.
Egyszerűen fogalmazva, a Let's Encrypt által kiállított tanúsítvány segítségével a HTTPS (SSL/TLS) ingyenesen engedélyezhető weboldalunkon.
A Let's Encrypt ingyenes tanúsítványok kiadását/megújítását szkriptek automatizálják, a Let's Encrypt hivatalosan a Certbot kliens használatát javasolja a tanúsítványok kiadásához.
Az alábbiakban bemutatjuk, hogyan igényelhet Let's Encrypt ingyenes SSL-tanúsítványt▼
Mi az a Let's Encrypt helyettesítő karakter tanúsítvány?
A helyettesítő karakteres tanúsítványok megjelenése előtt a Let's Encrypt csak 2 tanúsítványt támogatott:
- Egyetlen tartományi tanúsítvány: A tanúsítvány csak egy gazdagépet tartalmaz.
- SAN-tanúsítvány: Más néven tartománynév-tanúsítvány, egy tanúsítvány több gazdagépet is tartalmazhat (a titkosítási korlát 20).
Egyéni felhasználók számára, mivel nincs túl sok gazdagép, egyáltalán nincs probléma a SAN-tanúsítványok használatával, a nagyvállalatok számára viszont van néhány probléma:
- Sok aldomain létezik, és idővel új gazdagépre lehet szükség.
- Nagyon sok regisztrált domain is van.
A nagyvállalatoknál előfordulhat, hogy a SAN-tanúsítványok nem felelnek meg az igényeknek, és az összes gazdagép egy tanúsítványban van, amit a Let's Encrypt tanúsítványok használatával nem lehet kielégíteni (20-as korlát).
A helyettesítő karakter tanúsítványok olyan tanúsítványok, amelyek tartalmazhatnak helyettesítő karaktert:
- Például *.example.com, *.example.cn,Használja a *-t az összes aldomain automatikus egyeztetéséhez;
- A nagyvállalatok helyettesítő karakteres tanúsítványokat is használhatnak, és egy SSL-tanúsítvány több gazdagépet is elhelyezhet.
Különbség a helyettesítő karakter tanúsítvány és a SAN tanúsítvány között
- Helyettesítő karaktertanúsítványok – A helyettesítő karaktertanúsítványokat széles körben használják több aldomain védelmére egyedi, teljesen minősített domain név alatt.Ennek a tanúsítványtípusnak az az előnye, hogy nem csak a tanúsítványok kezelését teszi egyszerűvé, hanem a rezsiköltségeket is csökkenti.Mindig védi jelenlegi és jövőbeli aldomainjeit.
- SAN-tanúsítványok – A SAN-tanúsítványok (más néven több tartományos tanúsítványok) több tartomány egyetlen tanúsítvánnyal történő biztosítására szolgálnak.Abban különböznek a helyettesítő karakteres tanúsítványoktól, hogy mindegyiket támogatjákkorlátlanaldomainek. A SAN csak a tanúsítványban megadott, teljesen minősített tartománynevet támogatja. A SAN-tanúsítványok lenyűgözőek, mert használatukkal több mint 100 különböző, teljesen minősített tartománynevet védhet meg egyetlen tanúsítvánnyal, azonban a védelem mértéke a kibocsátó tanúsító hatóságtól függ.
hogyan kell alkalmazniTitkosítjukHelyettesítő igazolványok?
A helyettesítő karaktertanúsítványok megvalósítása érdekében a Let's Encrypt frissítette az ACME protokoll megvalósítását, és csak a v2 protokoll támogatja a helyettesítő karakter tanúsítványokat.
Ez azt jelenti, hogy bármely ügyfél igényelhet helyettesítő karakter tanúsítványt, amennyiben támogatja az ACME v2-t.
Töltse le a Certbot-Auto-t
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto --version
Titkosítsuk a helyettesítő karakteres tanúsítványszkriptet
git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au cd certbot-letencrypt-wildcardcertificates-alydns-au chmod 0777 au.sh
Titkosítsuk a helyettesítő karakteres tanúsítvány lejárati időzítési megújítási szkriptjét
A szkript itt az nginx által összeállított és telepített vagy a Dockeren keresztül telepített szerver, a https proxy a gazdagép proxyn vagy a terheléselosztó gazdagépen keresztül, automatikusan biztonsági másolatot készít az SSL-tanúsítványról, és újraindítja az Nginx proxykiszolgálót.
- Megjegyzés: A szkript valójában a
./certbot-auto renew
#!/usr/bin/env bash cmd="$HOME/certbot-auto" restartNginxCmd="docker restart ghost_nginx_1" action="renew" auth="$HOME/certbot/au.sh php aly add" cleanup="$HOME/certbot/au.sh php aly clean" deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd" $cmd $action \ --manual \ --preferred-challenges dns \ --deploy-hook \ "$deploy"\ --manual-auth-hook \ "$auth" \ --manual-cleanup-hook \ "$cleanup"
csatlakozik crontab, fájl szerkesztése▼
/etc/crontab
#证书有效期<30天才会renew,所以crontab可以配置为1天或1周 0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh
CWP-kiszolgáló konfigurációjának újraépítése
Íme a CWP lépései az nginx/apache szerver újraépítéséhez:
1. lépés: A CWP Vezérlőpult bal oldalán kattintson a WebServer Settings → Select WebServers ▼ elemre.
2. lépés:选择 Nginx & Varnish & Apache ▼
3. lépés:Kattintson a "Konfiguráció mentése és újraépítése" gombra alul a konfiguráció mentéséhez és újraépítéséhez.
- Frissítse a webhelyet, és látni fogja, hogy az SSL-tanúsítvány lejárati dátuma frissült.
Bővített olvasmány:
Hope Chen Weiliang Blog ( https://www.chenweiliang.com/ ) megosztott "A Let's Encrypt nem újul meg automatikusan?Frissítse a helyettesítő karakter tanúsítvány megújító szkriptjét, hogy segítsen.
Üdvözöljük a cikk linkjének megosztásában:https://www.chenweiliang.com/cwl-1199.html
Üdvözöljük Chen Weiliang blogjának Telegram csatornáján, hogy értesüljön a legfrissebb hírekről!
📚 Ez az útmutató hatalmas értéket tartalmaz, 🌟 Ritka lehetőség ez, ne hagyd ki! ⏰⌛💨
Oszd meg és lájkold, ha tetszik!
Az Ön megosztása és lájkja folyamatos motivációnk!