Artikel Directory
vorige keer opgelostToepassen mislukt om Let's Encrypt te installeren Foutbericht: AutoSSL-probleem misluktNa het DNS-probleem heeft dit gratis SSL-certificaat wat problemen om op te lossen.
CWP-configuratieschermHet lijkt erop dat het Let's Encrypt-certificaat is ingesteld om het certificaat automatisch te vernieuwen en te vernieuwen voordat het verloopt.Onverwacht heeft Let's Encrypt gisteren niet automatisch verlengd.SEOHet verkeer daalde sterk, maar kan gelukkig worden hersteld nadat de oplossing is opgelost.
Wat is Let's Encrypt?
Let's Encrypt is een gratis, geautomatiseerde en open Certificate Authority (CA) die wordt aangeboden door de non-profit Internet Security Research Group (ISRG).
Simpel gezegd, HTTPS (SSL/TLS) kan gratis worden ingeschakeld voor onze website met behulp van een certificaat uitgegeven door Let's Encrypt.
De uitgifte/verlenging van gratis Let's Encrypt-certificaten wordt geautomatiseerd door scripts.Let's Encrypt raadt officieel aan om de Certbot-client te gebruiken om certificaten uit te geven.
Het volgende is een tutorial over het aanvragen van een Let's Encrypt gratis SSL-certificaat▼
Wat is een Let's Encrypt wildcard-certificaat?
Voordat wildcard-certificaten verschenen, ondersteunde Let's Encrypt slechts 2 certificaten:
- Single Domain Certificate: Het certificaat bevat slechts één host.
- SAN-certificaat: ook wel domeinnaamcertificaat genoemd, een certificaat kan meerdere hosts bevatten (de Let's Encrypt-limiet is 20).
Voor individuele gebruikers, aangezien er niet al te veel hosts zijn, is er absoluut geen probleem met het gebruik van SAN-certificaten, maar voor grote bedrijven zijn er enkele problemen:
- Er zijn veel subdomeinen en het kan nodig zijn om na verloop van tijd een nieuwe host te gebruiken.
- Er zijn ook veel geregistreerde domeinen.
Voor grote ondernemingen voldoen SAN-certificaten mogelijk niet aan de behoeften en zitten alle hosts in één certificaat, wat niet kan worden voldaan met Let's Encrypt-certificaten (limiet 20).
Wildcardcertificaten zijn certificaten die een wildcard kunnen bevatten:
- Bijvoorbeeld *.voorbeeld.com, *.voorbeeld.cn,Gebruik * om automatisch alle subdomeinen te matchen;
- Grote ondernemingen kunnen ook wildcard-certificaten gebruiken en één SSL-certificaat kan meer hosts plaatsen.
Verschil tussen wildcard-certificaat en SAN-certificaat
- Wildcard-certificaten - Wildcard-certificaten worden veel gebruikt om meerdere subdomeinen te beschermen onder een unieke, volledig gekwalificeerde domeinnaam.Het voordeel van dit type certificaat is dat het niet alleen het beheer van certificaten vereenvoudigt, maar u ook helpt uw overheadkosten te verlagen.Het beschermt te allen tijde uw huidige en toekomstige subdomeinen.
- SAN-certificaten - SAN-certificaten (ook wel multi-domeincertificaten genoemd) worden gebruikt om meerdere domeinen te beveiligen met één certificaat.Ze verschillen van wildcard-certificaten doordat ze alles ondersteunenonbeperktsubdomeinen. SAN ondersteunt alleen de volledig gekwalificeerde domeinnaam die in het certificaat is ingevoerd. SAN-certificaten zijn indrukwekkend omdat u met één certificaat meer dan 100 verschillende volledig gekwalificeerde domeinnamen kunt beschermen; de mate van bescherming hangt echter af van de uitgevende certificeringsinstantie.
hoe toe te passenLaten we versleutelenWildcard certificaten?
Om wildcard-certificaten te implementeren, heeft Let's Encrypt de implementatie van het ACME-protocol geüpgraded en alleen het v2-protocol kan wildcard-certificaten ondersteunen.
Dat wil zeggen dat elke client een wildcard-certificaat kan aanvragen zolang deze ACME v2 ondersteunt.
Certbot-Auto downloaden
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto --version
Laten we het wildcard-certificaatscript versleutelen
git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au cd certbot-letencrypt-wildcardcertificates-alydns-au chmod 0777 au.sh
Let's Encrypt wildcard-script voor het verlengen van de vervaltijd van het certificaat
Het script hier is een server gecompileerd en geïnstalleerd door nginx of geïnstalleerd via Docker, proxy https via de hostproxy of load balancing-host, automatisch een back-up van het SSL-certificaat en herstart de Nginx-proxyserver.
- Opmerking: het script gebruikt eigenlijk de
./certbot-auto renew
#!/usr/bin/env bash cmd="$HOME/certbot-auto" restartNginxCmd="docker restart ghost_nginx_1" action="renew" auth="$HOME/certbot/au.sh php aly add" cleanup="$HOME/certbot/au.sh php aly clean" deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd" $cmd $action \ --manual \ --preferred-challenges dns \ --deploy-hook \ "$deploy"\ --manual-auth-hook \ "$auth" \ --manual-cleanup-hook \ "$cleanup"
toetreden crontab, bewerk bestand▼
/etc/crontab
#证书有效期<30天才会renew,所以crontab可以配置为1天或1周 0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh
CWP-serverconfiguratie opnieuw opbouwen
Hier zijn de stappen voor CWP om de nginx/apache-server opnieuw op te bouwen:
Stap 1: Klik aan de linkerkant van het CWP-configuratiescherm op WebServer-instellingen → Webservers selecteren ▼
Stap 2:选择 Nginx & Vernis & Apache ▼
Stap 3:Klik onderaan op de knop "Configuratie opslaan en opnieuw opbouwen" om de configuratie op te slaan en opnieuw op te bouwen.
- Ververs de website en je zult zien dat de vervaldatum van het SSL-certificaat is bijgewerkt.
Uitgebreide lezing:
Hoop Chen Weiliang Blog ( https://www.chenweiliang.com/ ) shared "Let's Encrypt wordt niet automatisch verlengd?Update Wildcard Certificate Renewal Script" om u te helpen.
Welkom om de link van dit artikel te delen:https://www.chenweiliang.com/cwl-1199.html
Welkom op het Telegram-kanaal van Chen Weiliang's blog voor de laatste updates!
📚 Deze gids bevat enorme waarde, 🌟Dit is een zeldzame kans, mis hem niet! ⏰⌛💨
Deel en like als je wilt!
Uw delen en likes zijn onze voortdurende motivatie!