ລາຍການຫົວເລື່ອງ
ແກ້ໄຂຄັ້ງສຸດທ້າຍລົ້ມເຫລວໃນການຕິດຕັ້ງ Let's Encrypt Error Message: AutoSSL ບັນຫາລົ້ມເຫລວຫຼັງຈາກບັນຫາ DNS, ໃບຢັ້ງຢືນ SSL ຟຣີນີ້ມີບັນຫາບາງຢ່າງທີ່ຈະແກ້ໄຂ.
ແຜງຄວບຄຸມ CWPໃນເບື້ອງຕົ້ນ, ມັນເບິ່ງຄືວ່າໃບຢັ້ງຢືນ Let's Encrypt ໄດ້ຖືກຕໍ່ອາຍຸໂດຍອັດຕະໂນມັດກ່ອນທີ່ມັນຈະຫມົດອາຍຸ. ຢ່າງໃດກໍຕາມ, ໃນມື້ວານນີ້, Let's Encrypt ບໍ່ໄດ້ຕໍ່ອາຍຸໃບຢັ້ງຢືນໂດຍອັດຕະໂນມັດ.SEOການຈະລາຈອນຫຼຸດລົງຢ່າງຫຼວງຫຼາຍ, ແຕ່ໂຊກດີທີ່ມັນສາມາດຟື້ນຕົວໄດ້ຫຼັງຈາກການແກ້ໄຂໄດ້ຖືກແກ້ໄຂ.
Let's Encrypt ແມ່ນຫຍັງ?
Let's Encrypt ເປັນອົງການໃບຮັບຮອງ (CA) ທີ່ບໍ່ເສຍຄ່າ, ອັດຕະໂນມັດ ແລະເປີດໃຫ້ໂດຍກຸ່ມຄົ້ນຄວ້າຄວາມປອດໄພທາງອິນເຕີເນັດທີ່ບໍ່ຫວັງຜົນກຳໄລ (ISRG).
ເວົ້າງ່າຍໆ, HTTPS (SSL / TLS) ສາມາດຖືກເປີດໃຊ້ສໍາລັບເວັບໄຊທ໌ຂອງພວກເຮົາໄດ້ໂດຍບໍ່ເສຍຄ່າໂດຍການຊ່ວຍເຫຼືອຂອງໃບຢັ້ງຢືນທີ່ອອກໂດຍ Let's Encrypt.
ການອອກ/ຕໍ່ອາຍຸຂອງ Let's Encrypt free certificates ແມ່ນອັດຕະໂນມັດໂດຍ scripts. Let's Encrypt ແນະນໍາຢ່າງເປັນທາງການໃຫ້ໃຊ້ Certbot client ເພື່ອອອກໃບຢັ້ງຢືນ.
ຕໍ່ໄປນີ້ແມ່ນການສອນກ່ຽວກັບວິທີການສະຫມັກຂໍເອົາໃບຢັ້ງຢືນການ SSL ຟຣີ Let's Encrypt ▼
ໃບຮັບຮອງ Let's Encrypt wildcard ແມ່ນຫຍັງ?
ກ່ອນທີ່ໃບຢັ້ງຢືນຕົວແທນຈະປາກົດ, Let's Encrypt ຮອງຮັບພຽງແຕ່ 2 ໃບຢັ້ງຢືນ:
- ໃບຢັ້ງຢືນໂດເມນດຽວ: ໃບຢັ້ງຢືນປະກອບມີໂຮດດຽວເທົ່ານັ້ນ.
- ໃບຮັບຮອງ SAN: ຍັງເອີ້ນວ່າໃບຢັ້ງຢືນຊື່ໂດເມນ, ໃບຢັ້ງຢືນສາມາດປະກອບມີຫຼາຍເຈົ້າພາບ (ໃຫ້ເຂົ້າລະຫັດຈໍາກັດແມ່ນ 20).
ສໍາລັບຜູ້ໃຊ້ສ່ວນບຸກຄົນ, ເນື່ອງຈາກວ່າບໍ່ມີເຈົ້າພາບຫຼາຍເກີນໄປ, ມັນບໍ່ມີບັນຫາແທ້ໆກັບການນໍາໃຊ້ໃບຢັ້ງຢືນ SAN, ແຕ່ສໍາລັບບໍລິສັດຂະຫນາດໃຫຍ່ມີບັນຫາບາງຢ່າງ:
- ມີຫຼາຍໂດເມນຍ່ອຍ, ແລະມັນອາດຈະຈໍາເປັນຕ້ອງໃຊ້ໂຮດໃຫມ່ໃນໄລຍະເວລາ.
- ຍັງມີຫຼາຍໂດເມນທີ່ລົງທະບຽນ.
ສໍາລັບວິສາຫະກິດຂະຫນາດໃຫຍ່, ໃບຢັ້ງຢືນ SAN ອາດຈະບໍ່ຕອບສະຫນອງຄວາມຕ້ອງການ, ແລະເຈົ້າພາບທັງຫມົດແມ່ນບັນຈຸຢູ່ໃນໃບຢັ້ງຢືນດຽວ, ເຊິ່ງບໍ່ສາມາດພໍໃຈໄດ້ໂດຍການໃຊ້ໃບຢັ້ງຢືນ Let's Encrypt (ຈໍາກັດ 20).
ໃບຢັ້ງຢືນຕົວແທນແມ່ນໃບຮັບຮອງທີ່ສາມາດມີຕົວແທນໄດ້:
- ຕົວຢ່າງ *.example.com, *.example.cn,ໃຊ້ * ເພື່ອຈັບຄູ່ໂດເມນຍ່ອຍທັງຫມົດໂດຍອັດຕະໂນມັດ;
- ວິສາຫະກິດຂະຫນາດໃຫຍ່ຍັງສາມາດໃຊ້ໃບຢັ້ງຢືນຕົວແທນ, ແລະໃບຢັ້ງຢືນ SSL ຫນຶ່ງສາມາດຈັດວາງເຈົ້າພາບເພີ່ມເຕີມ.
ຄວາມແຕກຕ່າງລະຫວ່າງໃບຮັບຮອງສັນຍາລັກແທນແລະໃບຢັ້ງຢືນ SAN
- ໃບຢັ້ງຢືນ Wildcard - ໃບຢັ້ງຢືນ Wildcard ຖືກນໍາໃຊ້ຢ່າງກວ້າງຂວາງເພື່ອປົກປ້ອງໂດເມນຍ່ອຍຫຼາຍອັນພາຍໃຕ້ຊື່ໂດເມນທີ່ມີຄຸນສົມບັດຄົບຖ້ວນທີ່ເປັນເອກະລັກ.ຜົນປະໂຫຍດຂອງໃບຢັ້ງຢືນປະເພດນີ້ແມ່ນບໍ່ພຽງແຕ່ເຮັດໃຫ້ການຄຸ້ມຄອງໃບຢັ້ງຢືນງ່າຍ, ແຕ່ມັນຍັງຊ່ວຍໃຫ້ທ່ານຫຼຸດຜ່ອນຄ່າໃຊ້ຈ່າຍເກີນຫົວຂອງທ່ານ.ມັນປົກປ້ອງໂດເມນຍ່ອຍໃນປະຈຸບັນແລະອະນາຄົດຂອງທ່ານຕະຫຼອດເວລາ.
- ໃບຢັ້ງຢືນ SAN - ໃບຢັ້ງຢືນ SAN (ຍັງເອີ້ນວ່າໃບຢັ້ງຢືນຫຼາຍໂດເມນ) ຖືກນໍາໃຊ້ເພື່ອຮັບປະກັນຫຼາຍໂດເມນດ້ວຍໃບຢັ້ງຢືນດຽວ.ພວກມັນແຕກຕ່າງຈາກໃບຢັ້ງຢືນຕົວແທນທີ່ເຂົາເຈົ້າສະຫນັບສະຫນູນທັງຫມົດບໍ່ຈຳກັດໂດເມນຍ່ອຍ. SAN ພຽງແຕ່ສະຫນັບສະຫນູນຊື່ໂດເມນທີ່ມີຄຸນວຸດທິຢ່າງເຕັມທີ່ໃສ່ໃນໃບຢັ້ງຢືນ. ໃບຢັ້ງຢືນ SAN ແມ່ນປະທັບໃຈເພາະວ່າການນໍາໃຊ້ພວກມັນທ່ານສາມາດປົກປ້ອງຫຼາຍກວ່າ 100 ຊື່ໂດເມນທີ່ມີຄຸນສົມບັດຄົບຖ້ວນສົມບູນດ້ວຍໃບຢັ້ງຢືນດຽວ; ຢ່າງໃດກໍຕາມ, ຈໍານວນການປົກປ້ອງແມ່ນຂຶ້ນກັບຜູ້ອອກໃບຢັ້ງຢືນ.
ວິທີການສະ ໝັກLet's Encryptໃບຮັບຮອງຕົວແທນ?
ເພື່ອປະຕິບັດໃບຮັບຮອງ wildcard, Let's Encrypt ໄດ້ອັບເກຣດການຈັດຕັ້ງປະຕິບັດໂປຣໂຕຄໍ ACME, ແລະມີພຽງແຕ່ໂປຣໂຕຄໍ v2 ເທົ່ານັ້ນທີ່ສາມາດຮອງຮັບໃບຢັ້ງຢືນ wildcard ໄດ້.
ນັ້ນແມ່ນ, ລູກຄ້າສາມາດສະຫມັກຂໍເອົາໃບຢັ້ງຢືນຕົວແທນໄດ້ຕາບໃດທີ່ມັນສະຫນັບສະຫນູນ ACME v2.
ດາວໂຫລດ Certbot-Auto
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto --version
ໃຫ້ເຂົ້າລະຫັດ Wildcard Certificate Script
git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au cd certbot-letencrypt-wildcardcertificates-alydns-au chmod 0777 au.sh
ຂໍໃຫ້ເຂົ້າລະຫັດສະຄຣິບການຕໍ່ອາຍຸຂອງໃບຮັບຮອງຕົວປ່ຽນແທນ
script ຢູ່ທີ່ນີ້ແມ່ນເຄື່ອງແມ່ຂ່າຍທີ່ລວບລວມແລະຕິດຕັ້ງໂດຍ nginx ຫຼືຕິດຕັ້ງຜ່ານ Docker, proxy https ຜ່ານ host proxy ຫຼື load balancing host, ສໍາຮອງຂໍ້ມູນອັດຕະໂນມັດໃບຢັ້ງຢືນ SSL, ແລະ restart server Nginx proxy.
- ຫມາຍເຫດ: ຕົວຈິງແລ້ວຕົວອັກສອນການນໍາໃຊ້
./certbot-auto renew
#!/usr/bin/env bash cmd="$HOME/certbot-auto" restartNginxCmd="docker restart ghost_nginx_1" action="renew" auth="$HOME/certbot/au.sh php aly add" cleanup="$HOME/certbot/au.sh php aly clean" deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd" $cmd $action \ --manual \ --preferred-challenges dns \ --deploy-hook \ "$deploy"\ --manual-auth-hook \ "$auth" \ --manual-cleanup-hook \ "$cleanup"
ເຂົ້າຮ່ວມ crontab, ແກ້ໄຂໄຟລ໌▼
/etc/crontab
#证书有效期<30天才会renew,所以crontab可以配置为1天或1周 0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh
ການສ້າງການຕັ້ງຄ່າເຊີບເວີ CWP ຄືນໃໝ່
ນີ້ແມ່ນຂັ້ນຕອນສໍາລັບ CWP ເພື່ອສ້າງເຄື່ອງແມ່ຂ່າຍ nginx / apache ຄືນໃໝ່:
ຂັ້ນຕອນທີ 1: ຢູ່ເບື້ອງຊ້າຍຂອງກະດານຄວບຄຸມ CWP, ໃຫ້ຄລິກໃສ່ການຕັ້ງຄ່າ WebServer →ເລືອກ WebServers ▼
第2步:退‰æ ‹© Nginx & Varnish & Apache ▼
第3步:ຄລິກທີ່ປຸ່ມ "Save & Rebuild Configuration" ຢູ່ທາງລຸ່ມເພື່ອບັນທຶກ ແລະສ້າງການຕັ້ງຄ່າຄືນໃໝ່.
- ໂຫຼດຫນ້າຈໍຄືນເວັບໄຊທ໌ແລະທ່ານຈະເຫັນວ່າວັນທີຫມົດອາຍຸຂອງໃບຢັ້ງຢືນ SSL ໄດ້ຖືກປັບປຸງ.
ອ່ານເພີ່ມເຕີມ:
ຫວັງ Chen Weiliang Blog ( https://www.chenweiliang.com/ ) shared "Let's Encrypt ບໍ່ຕໍ່ອາຍຸອັດຕະໂນມັດບໍ?ອັບເດດ Script ການຕໍ່ອາຍຸໃບຢັ້ງຢືນ Wildcard" ເພື່ອຊ່ວຍທ່ານ.
ຍິນດີຕ້ອນຮັບແບ່ງປັນການເຊື່ອມຕໍ່ຂອງບົດຄວາມນີ້:https://www.chenweiliang.com/cwl-1199.html
ຍິນດີຕ້ອນຮັບສູ່ຊ່ອງ Telegram ຂອງບລັອກຂອງ Chen Weiliang ເພື່ອຮັບອັບເດດຫຼ້າສຸດ!
📚ຄູ່ມືນີ້ມີຄຸນຄ່າອັນມະຫາສານ, 🌟ນີ້ເປັນໂອກາດທີ່ຫາຍາກ, ຢ່າພາດມັນ! ⏰⌛💨
Share and like ຖ້າມັກ!
ການແບ່ງປັນແລະການຖືກໃຈຂອງທ່ານແມ່ນການຊຸກຍູ້ຢ່າງຕໍ່ເນື່ອງຂອງພວກເຮົາ!