האם Let's Encrypt מתחדש אוטומטית?עדכן את הסקריפט לחידוש אישור תווים כלליים

נפתרה בפעם הקודמתהגשת בקשה להתקנה נכשלה הודעת שגיאה של Let's Encrypt: בעיית AutoSSL נכשלהלאחר בעיית ה-DNS, לאישור SSL החינמי הזה יש כמה בעיות לפתור.

לוח הבקרה של CWPבמקור נראה היה שתעודת Let's Encrypt חודשה אוטומטית לפני שפג תוקפו, אולם אתמול, Let's Encrypt לא חידשה אוטומטית את האישור.קידום אתריםהתנועה ירדה בחדות, אך למרבה המזל ניתן לשחזר אותה לאחר תיקון הפתרון.

מה זה בואו להצפין?

Let's Encrypt היא רשות אישורים חינמית, אוטומטית ופתוחה (CA) הניתנת על ידי קבוצת המחקר לאבטחת אינטרנט ללא מטרות רווח (ISRG).

במילים פשוטות, ניתן להפעיל HTTPS (SSL/TLS) עבור האתר שלנו בחינם בעזרת תעודה שהונפקה על ידי Let's Encrypt.

הנפקה/חידוש של תעודות חינם של Let's Encrypt מתבצעת אוטומטית ע"י סקריפטים. Let's Encrypt ממליצה רשמית להשתמש בלקוח Certbot להנפקת אישורים.

להלן מדריך כיצד להגיש בקשה לקבלת אישור SSL בחינם של Let's Encrypt▼

כיצד להגיש בקשה לבואו להצפין?

כיצד להגיש בקשה ל-Let's Encrypt?בואו להצפין עיקרון תעודת SSL ומדריך התקנה מה זה SSL?המאמר הקודם של צ'ן וייליאנג "מה ההבדל בין http לעומת https? זה מוזכר ב"הסבר מפורט על תהליך הצפנת SSL".אלא שאתרי מסחר אלקטרוני צריכים לקנות פרימיום...

מהו תעודת 'Let's Encrypt'?

לפני שהופיעו אישורי תווים כלליים, Let's Encrypt תמך רק בשני אישורים:

1. אישור דומיין יחיד: האישור מכיל מארח אחד בלבד.
2. אישור SAN: ידוע גם כאישור שם תחום, אישור יכול לכלול מארחים מרובים (המגבלה של בואו להצפין היא 20).

עבור משתמשים בודדים, מכיוון שאין יותר מדי מארחים, אין שום בעיה להשתמש בתעודות SAN, אבל עבור חברות גדולות יש כמה בעיות:

1. יש הרבה תת-דומיינים, וייתכן שיהיה צורך להשתמש במארח חדש לאורך זמן.
2. יש גם הרבה דומיינים רשומים.

עבור ארגונים גדולים, ייתכן שאישורי SAN לא יספקו את הצרכים, וכל המארחים כלולים בתעודה אחת, שלא ניתן לספק אותה באמצעות תעודות Let's Encrypt (מגבלה של 20).

אישורי תווים כלליים הם אישורים שיכולים להכיל תו כללי:

• לדוגמה *.example.com, *.example.cn,השתמש ב-* כדי להתאים אוטומטית לכל תת-הדומיינים;
• ארגונים גדולים יכולים גם להשתמש בתעודות תווים כלליים, ותעודת SSL אחת יכולה להציב יותר מארחים.

ההבדל בין אישור תווים כלליים לאישור SAN

1. תעודות Wildcard - תעודות Wildcard נמצאות בשימוש נרחב כדי להגן על תת-דומיינים מרובים תחת שם דומיין ייחודי מוסמך לחלוטין.היתרון של אישור מסוג זה הוא שלא רק שהוא מקל על ניהול האישורים, אלא שהוא גם עוזר לך להפחית את עלויות התקורה שלך.זה מגן על תת-הדומיינים הנוכחיים והעתידיים שלך בכל עת.
2. אישורי SAN - אישורי SAN (הידועים גם כאישורי ריבוי דומיינים) משמשים לאבטחת דומיינים מרובים עם תעודה אחת.הם שונים מתעודות תווים כלליים בכך שהם תומכים בכולםללא הגבלהתת-דומיינים. SAN תומך רק בשם הדומיין המלא המוזן בתעודה. אישורי SAN מרשימים מכיוון שבאמצעותם ניתן להגן על למעלה מ-100 שמות דומיין שונים עם אישור אחד; עם זאת, כמות ההגנה תלויה ברשות האישורים המנפיקה.

איך ליישםבואו להצפיןתעודת תעודה כללית?

על מנת להטמיע תעודות תווים כלליים, Let's Encrypt שדרגה את היישום של פרוטוקול ACME, ורק פרוטוקול v2 יכול לתמוך בתעודות תווים כלליים.

כלומר, כל לקוח יכול להגיש בקשה לאישור תווים כלליים כל עוד הוא תומך ב-ACME v2.

הורד את Certbot-Auto

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto --version

בואו להצפין את סקריפט האישור של תווים כלליים לחיפוש

git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au
cd certbot-letencrypt-wildcardcertificates-alydns-au
chmod 0777 au.sh

בואו להצפין סקריפט חידוש תזמון תפוגה של אישור תווים כלליים

הסקריפט כאן הוא שרת שהוידור ומותקן על ידי nginx או מותקן דרך Docker, proxy https דרך ה-proxy המארח או המארח של איזון עומסים, גיבוי אוטומטי של אישור ה-SSL, והפעל מחדש את שרת ה-proxy של Nginx.

• הערה: הסקריפט למעשה משתמש ב- ./certbot-auto renew

#!/usr/bin/env bash

cmd="$HOME/certbot-auto" 
restartNginxCmd="docker restart ghost_nginx_1"
action="renew"
auth="$HOME/certbot/au.sh php aly add"
cleanup="$HOME/certbot/au.sh php aly clean"
deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd"

$cmd $action \
--manual \
--preferred-challenges dns \
--deploy-hook \
"$deploy"\
--manual-auth-hook \
"$auth" \
--manual-cleanup-hook \
"$cleanup"

הצטרף crontab, ערוך קובץ▼

/etc/crontab

#证书有效期<30天才会renew，所以crontab可以配置为1天或1周
0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh

בנייה מחדש של תצורת שרת CWP

להלן השלבים עבור CWP לבנות מחדש את שרת nginx/apache:

שלב 1: בצד שמאל של לוח הבקרה של CWP, לחץ על הגדרות WebServer → בחר WebServers ▼

第 2 步:选择 Nginx & Varnish & Apache ▼

第 3 步:לחץ על הלחצן "שמור ובנה מחדש תצורה" בתחתית כדי לשמור ולבנות מחדש את התצורה.

• רענן את האתר ותראה שתאריך התפוגה של תעודת ה-SSL עודכן.

קריאה מורחבת:

Linux Crontab מבצעת פקודות משימות סקריפט באופן קבוע ומגדירה את השימוש בקבצי התצורה

תהליך ה-cron המובנה של לינוקס יכול לעזור לנו לענות על הצרכים של ביצוע משימות מתוזמנות. על ידי שימוש בסקריפטים של cron ו- shell, אין בעיה בביצוע קבוע של פקודות משימות מורכבות מאוד.מה זה קרון?מה שאנו משתמשים לעתים קרובות הוא הפקודה crontab, שהיא cron ta...