Artigo Diretório
resolvido da última vezFalha ao aplicar para instalar Let's Encrypt Mensagem de erro: Falha no problema do AutoSSLApós o problema do DNS, este certificado SSL gratuito tem alguns problemas para resolver.
Painel de controle CWPOriginalmente, parecia que o certificado Let's Encrypt era renovado automaticamente antes de expirar, mas ontem, Let's Encrypt não renovou o certificado automaticamente.SEOO tráfego caiu drasticamente, mas felizmente pode ser recuperado após a solução ser corrigida.
O que é Let's Encrypt?
Let's Encrypt é uma Autoridade de Certificação (CA) gratuita, automatizada e aberta fornecida pelo Internet Security Research Group (ISRG) sem fins lucrativos.
Simplificando, HTTPS (SSL/TLS) pode ser habilitado para nosso site gratuitamente com a ajuda de um certificado emitido pela Let's Encrypt.
A emissão/renovação de certificados gratuitos da Let's Encrypt é automatizada por scripts. A Let's Encrypt recomenda oficialmente o uso do cliente Certbot para emissão de certificados.
O seguinte é um tutorial sobre como solicitar um certificado SSL gratuito Let's Encrypt▼
O que é um certificado curinga Let's Encrypt?
Antes dos certificados curinga aparecerem, o Let's Encrypt suportava apenas 2 certificados:
- Certificado de Domínio Único: O certificado contém apenas um host.
- Certificado SAN: Também conhecido como certificado de nome de domínio, um certificado pode incluir vários hosts (o limite do Let's Encrypt é 20).
Para usuários individuais, como não há muitos hosts, não há problema algum em usar certificados SAN, mas para grandes empresas existem alguns problemas:
- Existem muitos subdomínios e um novo host pode ser necessário ao longo do tempo.
- Há também muitos domínios registrados.
Para grandes empresas, os certificados SAN podem não atender às necessidades e todos os hosts estão contidos em um certificado, que não pode ser satisfeito com os certificados Let's Encrypt (limite de 20).
Os certificados curinga são certificados que podem conter um curinga:
- Por exemplo *.example.com, *.example.cn,Use * para corresponder automaticamente a todos os subdomínios;
- Grandes empresas também podem usar certificados curinga e um certificado SSL pode colocar mais hosts.
Diferença entre certificado curinga e certificado SAN
- Certificados curinga - Os certificados curinga são amplamente usados para proteger vários subdomínios sob um nome de domínio totalmente qualificado exclusivo.O benefício desse tipo de certificado é que ele não apenas facilita o gerenciamento de certificados, mas também ajuda a reduzir seus custos indiretos.Ele protege seus subdomínios atuais e futuros em todos os momentos.
- Certificados SAN - os certificados SAN (também conhecidos como certificados de vários domínios) são usados para proteger vários domínios com um único certificado.Eles diferem dos certificados curinga porque suportam todos os无限subdomínios. A SAN oferece suporte apenas ao nome de domínio totalmente qualificado inserido no certificado. Os certificados SAN são impressionantes porque, usando-os, você pode proteger mais de 100 nomes de domínio totalmente qualificados diferentes com um único certificado; no entanto, a quantidade de proteção depende da autoridade de certificação emissora.
como aplicarLet’s EncryptCertificados curinga?
Para implementar certificados curinga, Let's Encrypt atualizou a implementação do protocolo ACME, e somente o protocolo v2 pode suportar certificados curinga.
Ou seja, qualquer cliente pode solicitar um certificado curinga, desde que suporte ACME v2.
Baixar Certbot-Auto
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto --version
Vamos criptografar script de certificado curinga
git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au cd certbot-letencrypt-wildcardcertificates-alydns-au chmod 0777 au.sh
Let's Encrypt script de renovação de tempo de expiração de certificado curinga
O script aqui é um servidor compilado e instalado pelo nginx ou instalado por meio do Docker, proxy https por meio do proxy do host ou do host de balanceamento de carga, faz backup automático do certificado SSL e reinicie o servidor proxy Nginx.
- Nota: O script realmente usa o
./certbot-auto renew
#!/usr/bin/env bash cmd="$HOME/certbot-auto" restartNginxCmd="docker restart ghost_nginx_1" action="renew" auth="$HOME/certbot/au.sh php aly add" cleanup="$HOME/certbot/au.sh php aly clean" deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd" $cmd $action \ --manual \ --preferred-challenges dns \ --deploy-hook \ "$deploy"\ --manual-auth-hook \ "$auth" \ --manual-cleanup-hook \ "$cleanup"
Aderir crontab, editar arquivo▼
/etc/crontab
#证书有效期<30天才会renew,所以crontab可以配置为1天或1周 0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh
Reconstrução da configuração do servidor CWP
Aqui estão as etapas para o CWP reconstruir o servidor nginx/apache:
Etapa 1: No lado esquerdo do Painel de Controle do CWP, clique em Configurações do Servidor Web → Selecionar Servidores Web ▼
Etapa 2:选择 Nginx & Verniz & Apache ▼
Etapa 3:Clique no botão "Salvar e reconstruir configuração" na parte inferior para salvar e reconstruir a configuração.
- Atualize o site e você verá que a data de validade do certificado SSL foi atualizada.
Leitura estendida:
Hope Chen Weiliang Blog ( https://www.chenweiliang.com/ ) compartilhado "Let's Encrypt não renova automaticamente?Atualizar script de renovação de certificado curinga" para ajudá-lo.
Bem-vindo a compartilhar o link deste artigo:https://www.chenweiliang.com/cwl-1199.html
Bem-vindo ao canal Telegram do blog de Chen Weiliang para receber as últimas atualizações!
📚 Este guia contém um valor enorme, 🌟Esta é uma oportunidade rara, não perca! ⏰⌛💨
Compartilhe e curta se gostar!
Seus compartilhamentos e curtidas são nossa motivação contínua!