Каталог статей
решил в прошлый разНе удалось подать заявку на установку Let's Encrypt. Сообщение об ошибке: ошибка AutoSSL.После проблемы с DNS у этого бесплатного SSL-сертификата есть некоторые проблемы, которые нужно решить.
Панель управления КВПИзначально казалось, что сертификат Let’s Encrypt автоматически продлевался до истечения срока его действия, однако вчера Let’s Encrypt не продлил сертификат автоматически.SEOТрафик резко упал, но, к счастью, его можно восстановить после того, как решение будет исправлено.
Что такое Давайте зашифруем?
Let’s Encrypt — это бесплатный, автоматизированный и открытый центр сертификации (ЦС), предоставляемый некоммерческой исследовательской группой по безопасности в Интернете (ISRG).
Проще говоря, HTTPS (SSL/TLS) можно включить для нашего сайта бесплатно с помощью сертификата, выданного Let's Encrypt.
Выдача/продление бесплатных сертификатов Let's Encrypt автоматизирована скриптами. Let's Encrypt официально рекомендует использовать клиент Certbot для выдачи сертификатов.
Ниже приведено руководство по подаче заявки на бесплатный SSL-сертификат Let's Encrypt▼.
Что такое подстановочный сертификат Let’s Encrypt?
До появления подстановочных сертификатов Let's Encrypt поддерживал только 2 сертификата:
- Сертификат одного домена: Сертификат содержит только один хост.
- Сертификат SAN: также известный как сертификат доменного имени, сертификат может включать несколько хостов (ограничение Let’s Encrypt — 20).
Для индивидуальных пользователей, так как хостов не слишком много, проблем с использованием SAN-сертификатов абсолютно нет, а вот для крупных компаний есть некоторые проблемы:
- Поддоменов очень много, и со временем может потребоваться новый хост.
- Есть также много зарегистрированных доменов.
Для крупных предприятий сертификаты SAN могут не соответствовать потребностям, и все хосты содержатся в одном сертификате, что невозможно удовлетворить с помощью сертификатов Let's Encrypt (ограничение 20).
Подстановочные сертификаты — это сертификаты, которые могут содержать подстановочный знак:
- Например *.example.com, *.example.cn,Используйте * для автоматического сопоставления всех субдоменов;
- Крупные предприятия также могут использовать групповые сертификаты, а один SSL-сертификат может размещать больше хостов.
Разница между групповым сертификатом и сертификатом SAN
- Подстановочные сертификаты. Подстановочные сертификаты широко используются для защиты нескольких поддоменов под уникальным полным доменным именем.Преимущество этого типа сертификата заключается в том, что он не только упрощает управление сертификатами, но и помогает снизить накладные расходы.Он всегда защищает ваши текущие и будущие поддомены.
- Сертификаты SAN. Сертификаты SAN (также известные как многодоменные сертификаты) используются для защиты нескольких доменов с помощью одного сертификата.Они отличаются от групповых сертификатов тем, что поддерживают все无限поддомены. SAN поддерживает только полное доменное имя, указанное в сертификате. Сертификаты SAN впечатляют тем, что с их помощью вы можете защитить более 100 различных полных доменных имен с помощью одного сертификата, однако степень защиты зависит от центра сертификации, выдавшего сертификат.
как подать заявкуДавайте зашифроватьПодстановочный сертификат?
Чтобы внедрить подстановочные сертификаты, Let's Encrypt обновил реализацию протокола ACME, и только протокол v2 может поддерживать подстановочные сертификаты.
Другими словами, любой клиент может подать заявку на получение подстановочного сертификата, если он поддерживает ACME v2.
Скачать Сертбот-Авто
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto --version
Давайте зашифруем сценарий подстановочного сертификата
git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au cd certbot-letencrypt-wildcardcertificates-alydns-au chmod 0777 au.sh
Скрипт обновления времени истечения срока действия сертификата Let's Encrypt
Сценарий здесь представляет собой сервер, скомпилированный и установленный nginx или установленный через Docker, проксирующий https через прокси хоста или хост балансировки нагрузки, автоматически создающий резервную копию SSL-сертификата и перезапускающий прокси-сервер Nginx.
- Примечание. Сценарий на самом деле использует
./certbot-auto renew
#!/usr/bin/env bash cmd="$HOME/certbot-auto" restartNginxCmd="docker restart ghost_nginx_1" action="renew" auth="$HOME/certbot/au.sh php aly add" cleanup="$HOME/certbot/au.sh php aly clean" deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd" $cmd $action \ --manual \ --preferred-challenges dns \ --deploy-hook \ "$deploy"\ --manual-auth-hook \ "$auth" \ --manual-cleanup-hook \ "$cleanup"
присоединиться кронтаб, редактировать файл▼
/etc/crontab
#证书有效期<30天才会renew,所以crontab可以配置为1天或1周 0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh
Восстановление конфигурации сервера CWP
Вот шаги для CWP по перестройке сервера nginx/apache:
Шаг 1: В левой части панели управления CWP нажмите «Настройки веб-сервера» → «Выбрать веб-серверы» ▼
第 2 步 :выбрать Nginx, Varnish и Apache ▼
第 3 步 :Нажмите кнопку «Сохранить и перестроить конфигурацию» внизу, чтобы сохранить и перестроить конфигурацию.
- Обновите веб-сайт, и вы увидите, что дата истечения срока действия SSL-сертификата была обновлена.
Расширенное чтение:
Блог Хоуп Чен Вейлян ( https://www.chenweiliang.com/ ) поделился «Let's Encrypt не продлевается автоматически?Обновите сценарий обновления сертификата подстановочного знака», чтобы помочь вам.
Добро пожаловать, чтобы поделиться ссылкой на эту статью:https://www.chenweiliang.com/cwl-1199.html
Добро пожаловать на Telegram-канал блога Chen Weiliang, чтобы быть в курсе последних обновлений!
📚 Это руководство содержит огромную ценность. 🌟Это редкая возможность, не упустите ее! ⏰⌛💨
Делитесь и ставьте лайк, если хотите!
Ваш обмен и лайки - наша постоянная мотивация!