Katalog artykułów
rozwiązany ostatnim razemNie udało się zastosować do instalacji Let's Encrypt Komunikat o błędzie: Błąd AutoSSL nie powiódł sięPo problemie z DNS ten darmowy certyfikat SSL ma pewne problemy do rozwiązania.
Panel sterowania CWPPierwotnie wydawało się, że certyfikat Let's Encrypt został automatycznie odnowiony przed wygaśnięciem, jednak wczoraj Let's Encrypt nie odnowiło certyfikatu automatycznie.SEORuch gwałtownie spadł, ale na szczęście można go odzyskać po naprawieniu rozwiązania.
Czym jest Let's Encrypt?
Let's Encrypt to bezpłatny, zautomatyzowany i otwarty urząd certyfikacji (CA) udostępniany przez organizację non-profit Internet Security Research Group (ISRG).
Mówiąc najprościej, HTTPS (SSL/TLS) można włączyć dla naszej witryny za darmo za pomocą certyfikatu wydanego przez Let's Encrypt.
Wydawanie/odnawianie bezpłatnych certyfikatów Let's Encrypt jest zautomatyzowane przez skrypty.Let's Encrypt oficjalnie zaleca używanie klienta Certbot do wydawania certyfikatów.
Poniżej znajduje się samouczek dotyczący ubiegania się o darmowy certyfikat SSL Let's Encrypt▼
Co to jest certyfikat wieloznaczny Let's Encrypt?
Zanim pojawiły się certyfikaty wieloznaczne, Let's Encrypt obsługiwał tylko 2 certyfikaty:
- Certyfikat pojedynczej domeny: Certyfikat zawiera tylko jednego hosta.
- Certyfikat SAN: Znany również jako certyfikat nazwy domeny, certyfikat może obejmować wiele hostów (limit Let's Encrypt wynosi 20).
Dla użytkowników indywidualnych, ponieważ nie ma zbyt wielu hostów, nie ma absolutnie żadnego problemu z używaniem certyfikatów SAN, ale dla dużych firm są pewne problemy:
- Istnieje wiele subdomen i z czasem może być konieczne użycie nowego hosta.
- Istnieje również wiele zarejestrowanych domen.
W przypadku dużych przedsiębiorstw certyfikaty SAN mogą nie spełniać potrzeb, a wszystkie hosty są zawarte w jednym certyfikacie, czego nie można spełnić przy użyciu certyfikatów Let's Encrypt (limit 20).
Certyfikaty wieloznaczne to certyfikaty, które mogą zawierać symbol wieloznaczny:
- Na przykład *.przyklad.com, *.przyklad.cn,Użyj *, aby automatycznie dopasować wszystkie subdomeny;
- Duże przedsiębiorstwa mogą również używać certyfikatów wieloznacznych, a jeden certyfikat SSL może umieścić więcej hostów.
Różnica między certyfikatem wieloznacznym a certyfikatem SAN
- Certyfikaty Wildcard — Certyfikaty Wildcard są powszechnie używane do ochrony wielu subdomen pod unikalną, w pełni kwalifikowaną nazwą domeny.Zaletą tego typu certyfikatu jest to, że nie tylko ułatwia zarządzanie certyfikatami, ale także pomaga obniżyć koszty ogólne.Przez cały czas chroni Twoje obecne i przyszłe subdomeny.
- Certyfikaty SAN — certyfikaty SAN (znane również jako certyfikaty wielodomenowe) służą do zabezpieczania wielu domen za pomocą jednego certyfikatu.Różnią się od certyfikatów wieloznacznych tym, że obsługują wszystkie无限subdomeny. SAN obsługuje tylko w pełni kwalifikowaną nazwę domeny wprowadzoną w certyfikacie. Certyfikaty SAN robią wrażenie, ponieważ za ich pomocą można chronić jednym certyfikatem ponad 100 różnych w pełni kwalifikowanych nazw domen, jednak stopień ochrony zależy od wystawiającego urzędu certyfikacji.
jak aplikowaćZakodujmyCertyfikaty wieloznaczne?
W celu implementacji certyfikatów wieloznacznych, Let's Encrypt zaktualizowało implementację protokołu ACME i tylko protokół v2 może obsługiwać certyfikaty wieloznaczne.
Oznacza to, że każdy klient może ubiegać się o certyfikat wieloznaczny, o ile obsługuje ACME v2.
Pobierz Certbot-Auto
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto --version
Zaszyfrujmy skrypt certyfikatu blankietowego
git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au cd certbot-letencrypt-wildcardcertificates-alydns-au chmod 0777 au.sh
Let's Encrypt skrypt odnawiania ważności certyfikatu z symbolami wieloznacznymi
Skrypt tutaj jest serwerem skompilowanym i zainstalowanym przez nginx lub zainstalowanym za pośrednictwem platformy Docker, proxy https za pośrednictwem serwera proxy hosta lub hosta równoważącego obciążenie, automatycznie tworzy kopię zapasową certyfikatu SSL i ponownie uruchamia serwer proxy Nginx.
- Uwaga: Skrypt faktycznie używa
./certbot-auto renew
#!/usr/bin/env bash cmd="$HOME/certbot-auto" restartNginxCmd="docker restart ghost_nginx_1" action="renew" auth="$HOME/certbot/au.sh php aly add" cleanup="$HOME/certbot/au.sh php aly clean" deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd" $cmd $action \ --manual \ --preferred-challenges dns \ --deploy-hook \ "$deploy"\ --manual-auth-hook \ "$auth" \ --manual-cleanup-hook \ "$cleanup"
Dołącz crontab, edytuj plik▼
/etc/crontab
#证书有效期<30天才会renew,所以crontab可以配置为1天或1周 0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh
Przebudowa konfiguracji serwera CWP
Oto kroki dla CWP, aby odbudować serwer nginx/apache:
Krok 1: Po lewej stronie Panelu sterowania CWP kliknij Ustawienia serwera WWW → Wybierz serwery WWW ▼
2 步:选择 Nginx i lakier i Apache ▼
3 步:Kliknij przycisk „Zapisz i odbuduj konfigurację” na dole, aby zapisać i odbudować konfigurację.
- Odśwież stronę, a zobaczysz, że data ważności certyfikatu SSL została zaktualizowana.
Rozszerzona lektura:
Nadzieja Chen Weiliang Blog ( https://www.chenweiliang.com/ ) udostępniony „Let's Encrypt nie odnawia się automatycznie?Zaktualizuj skrypt odnawiania certyfikatu Wildcard”, aby Ci pomóc.
Zapraszamy do udostępnienia linku do tego artykułu:https://www.chenweiliang.com/cwl-1199.html