Мақала анықтамалығы
соңғы рет шешілдіҚате туралы хабарды шифрлаймыз: AutoSSL мәселесі орындалмадыDNS мәселесінен кейін бұл тегін SSL сертификатында шешуге болатын кейбір мәселелер бар.
CWP басқару тақтасыБастапқыда Let's Encrypt сертификатының мерзімі аяқталмай тұрып автоматты түрде жаңартылған сияқты көрінді.Алайда, кеше Let's Encrypt сертификатты автоматты түрде ұзартпады.SEOТрафик күрт төмендеді, бірақ бақытымызға орай, оны шешім түзетілгеннен кейін қалпына келтіруге болады.
Let's Encrypt дегеніміз не?
Let's Encrypt — коммерциялық емес Интернет қауіпсіздігін зерттеу тобы (ISRG) ұсынған тегін, автоматтандырылған және ашық сертификаттау орталығы (CA).
Қарапайым тілмен айтқанда, HTTPS (SSL/TLS) біздің веб-сайт үшін Let's Encrypt берген сертификаттың көмегімен тегін қосылуы мүмкін.
Let's Encrypt тегін сертификаттарын шығару/жаңарту сценарийлер арқылы автоматтандырылған. Let's Encrypt сертификаттарды шығару үшін Certbot клиентін пайдалануды ресми түрде ұсынады.
Төменде Let's Encrypt тегін SSL сертификатына өтініш беру туралы оқулық берілген▼
Let's Encrypt қойылмалы таңба сертификаты дегеніміз не?
Қойылмалы таңба сертификаттары пайда болғанға дейін Let's Encrypt тек 2 сертификатқа қолдау көрсетеді:
- Бір домен сертификаты: сертификатта тек бір хост бар.
- SAN сертификаты: Домендік атау сертификаты ретінде де белгілі, сертификат бірнеше хосттарды қамтуы мүмкін (Шифрлау шегі – 20).
Жеке пайдаланушылар үшін тым көп хосттар болмағандықтан, SAN сертификаттарын пайдалануда ешқандай проблема жоқ, бірақ ірі компаниялар үшін кейбір мәселелер бар:
- Көптеген қосалқы домендер бар және уақыт өте келе жаңа хостты пайдалану қажет болуы мүмкін.
- Сондай-ақ көптеген тіркелген домендер бар.
Ірі кәсіпорындар үшін SAN сертификаттары қажеттіліктерді қанағаттандырмауы мүмкін және барлық хосттар бір сертификатта қамтылған, оны Let's Encrypt сертификаттарын пайдалану арқылы қанағаттандыруға болмайды (шектеу 20).
Қойылмалы таңба сертификаттары — қойылмалы таңба болуы мүмкін сертификаттар:
- Мысалы, *.example.com, *.example.cn,Барлық ішкі домендерді автоматты түрде сәйкестендіру үшін * пайдаланыңыз;
- Ірі кәсіпорындар қойылмалы таңба сертификаттарын да пайдалана алады және бір SSL сертификаты көбірек хосттарды орналастыра алады.
Қойылмалы таңба сертификаты мен SAN сертификаты арасындағы айырмашылық
- Қойылмалы таңба куәліктері - Қойылмалы таңба сертификаттары бірегей толық білікті домендік атаумен бірнеше ішкі домендерді қорғау үшін кеңінен қолданылады.Сертификаттың бұл түрінің артықшылығы - ол сертификаттарды басқаруды жеңілдетіп қана қоймайды, сонымен қатар үстеме шығындарды азайтуға көмектеседі.Ол сіздің ағымдағы және болашақ қосалқы домендеріңізді әрқашан қорғайды.
- SAN сертификаттары - SAN сертификаттары (көп домендік сертификаттар ретінде де белгілі) бір сертификатпен бірнеше домендерді қорғау үшін пайдаланылады.Олардың қойылмалы таңба сертификаттарынан айырмашылығы, барлығына қолдау көрсетедішектеусізқосалқы домендер. SAN тек сертификатта енгізілген толық жарамды домен атауын қолдайды. SAN сертификаттары әсерлі, себебі оларды пайдалану арқылы 100-ден астам толық жарамды домендік атауларды бір сертификатпен қорғауға болады; дегенмен, қорғау мөлшері сертификатты беруші органға байланысты.
қалай қолдануға боладыШифрлаймызҚойылмалы таңба сертификаттары?
Қойылмалы таңба сертификаттарын енгізу үшін Let's Encrypt ACME протоколының орындалуын жаңартты және тек v2 протоколы қойылмалы таңба куәліктерін қолдай алады.
Яғни, кез келген клиент ACME v2 қолдайтын болса, қойылмалы таңба сертификатына өтініш бере алады.
Certbot-Auto жүктеп алыңыз
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto --version
Wildcard сертификат сценарийін шифрлейік
git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au cd certbot-letencrypt-wildcardcertificates-alydns-au chmod 0777 au.sh
Қойылмалы таңба сертификатының жарамдылық мерзімін жаңарту сценарийін шифрлейік
Мұндағы сценарий nginx арқылы құрастырылған және орнатылған немесе Docker арқылы орнатылған сервер, хост проксиі немесе жүктемені теңестіретін хост арқылы прокси https, SSL сертификатының сақтық көшірмесін автоматты түрде жасаңыз және Nginx прокси серверін қайта іске қосыңыз.
- Ескерту: сценарий шын мәнінде пайдаланады
./certbot-auto renew
#!/usr/bin/env bash cmd="$HOME/certbot-auto" restartNginxCmd="docker restart ghost_nginx_1" action="renew" auth="$HOME/certbot/au.sh php aly add" cleanup="$HOME/certbot/au.sh php aly clean" deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd" $cmd $action \ --manual \ --preferred-challenges dns \ --deploy-hook \ "$deploy"\ --manual-auth-hook \ "$auth" \ --manual-cleanup-hook \ "$cleanup"
Қосылыңыз Crontab, файлды өңдеу▼
/etc/crontab
#证书有效期<30天才会renew,所以crontab可以配置为1天或1周 0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh
CWP сервер конфигурациясын қайта құру
Мұнда nginx/apache серверін қайта құру үшін CWP қадамдары берілген:
1-қадам: CWP басқару тақтасының сол жағында WebServer Settings → WebServers тармағын таңдаңыз ▼
2-ші күн:选择 Nginx & Lak & Apache ▼
3-ші күн:Конфигурацияны сақтау және қайта құру үшін төменгі жағындағы «Конфигурацияны сақтау және қайта құру» түймесін басыңыз.
- Веб-сайтты жаңартыңыз және SSL сертификатының жарамдылық мерзімі жаңартылғанын көресіз.
Кеңейтілген оқу:
Hope Chen Weiliang блогы ( https://www.chenweiliang.com/ ) бөлісті "Let's Encrypt автоматты түрде жаңартылмайды ма?Сізге көмектесу үшін Wildcard сертификатын жаңарту сценарийін жаңартыңыз.
Осы мақаланың сілтемесін бөлісуге қош келдіңіз:https://www.chenweiliang.com/cwl-1199.html
Соңғы жаңартуларды алу үшін Чен Вэйлян блогының Telegram арнасына қош келдіңіз!
📚 Бұл нұсқаулықта үлкен құндылық бар, 🌟Бұл сирек мүмкіндік, оны жіберіп алмаңыз! ⏰⌛💨
Ұнаса лайк басып, бөлісіңіз!
Сіздің бөлісулеріңіз бен лайктарыңыз - біздің үздіксіз мотивациямыз!