Let's Encrypt ต่ออายุอัตโนมัติหรือไม่?อัปเดตสคริปต์การต่ออายุใบรับรองไวด์การ์ด

แก้ครั้งที่แล้วไม่สามารถนำไปใช้กับการติดตั้ง Let's Encrypt ข้อความแสดงข้อผิดพลาด: ปัญหา AutoSSL ล้มเหลวหลังจากปัญหา DNS ใบรับรอง SSL ฟรีนี้มีปัญหาที่ต้องแก้ไข

แผงควบคุม CWPในขั้นต้น ดูเหมือนว่าใบรับรอง Let's Encrypt จะได้รับการต่ออายุโดยอัตโนมัติก่อนที่จะหมดอายุ อย่างไรก็ตาม เมื่อวานนี้ Let's Encrypt ไม่ได้ต่ออายุใบรับรองโดยอัตโนมัติSEOปริมาณการใช้ข้อมูลลดลงอย่างรวดเร็ว แต่โชคดีที่สามารถกู้คืนได้หลังจากแก้ไขปัญหาแล้ว

Let's Encrypt คืออะไร?

Let's Encrypt เป็นผู้ออกใบรับรอง (CA) แบบเปิดอัตโนมัติที่ให้บริการฟรีโดย Internet Security Research Group (ISRG) ที่ไม่แสวงหาผลกำไร

พูดง่ายๆ ก็คือ สามารถเปิดใช้งาน HTTPS (SSL/TLS) สำหรับเว็บไซต์ของเราได้ฟรีด้วยความช่วยเหลือของใบรับรองที่ออกโดย Let's Encrypt

การออก/ต่ออายุใบรับรองฟรีของ Let's Encrypt เป็นแบบอัตโนมัติโดยสคริปต์ Let's Encrypt ขอแนะนำให้ใช้ไคลเอ็นต์ Certbot อย่างเป็นทางการในการออกใบรับรอง

ต่อไปนี้เป็นบทช่วยสอนเกี่ยวกับวิธีการสมัครใบรับรอง SSL ฟรีของ Let's Encrypt ▼

จะสมัคร Let's Encrypt ได้อย่างไร มาเข้ารหัส SSL ฟรี หลักการและการสอนการติดตั้ง

วิธีการสมัคร Let's Encrypt?มาเข้ารหัสหลักการของใบรับรอง SSL และบทช่วยสอนการติดตั้ง SSL คืออะไร?บทความก่อนหน้านี้ของ Chen Weiliang "http กับ https ต่างกันอย่างไร? มีการกล่าวถึงใน "คำอธิบายโดยละเอียดของกระบวนการเข้ารหัส SSL"ยกเว้นเว็บอีคอมเมิร์ซต้องซื้อพรีเมี่ยม...

ใบรับรองสัญลักษณ์แทน Let's Encrypt คืออะไร

ก่อนที่ใบรับรองไวด์การ์ดจะปรากฏขึ้น Let's Encrypt รองรับ 2 ใบรับรองเท่านั้น:

1. ใบรับรองโดเมนเดียว: ใบรับรองมีโฮสต์เดียวเท่านั้น
2. ใบรับรอง SAN: หรือที่เรียกว่าใบรับรองชื่อโดเมน ใบรับรองสามารถมีได้หลายโฮสต์ (ขีด จำกัด Let's Encrypt คือ 20)

สำหรับผู้ใช้แต่ละราย เนื่องจากมีโฮสต์ไม่มากเกินไป จึงไม่มีปัญหากับการใช้ใบรับรอง SAN อย่างแน่นอน แต่สำหรับบริษัทขนาดใหญ่จะมีปัญหาบางประการ:

1. มีโดเมนย่อยจำนวนมาก และอาจจำเป็นต้องใช้โฮสต์ใหม่เมื่อเวลาผ่านไป
2. นอกจากนี้ยังมีโดเมนที่ลงทะเบียนจำนวนมาก

สำหรับองค์กรขนาดใหญ่ ใบรับรอง SAN อาจไม่ตรงตามความต้องการ และโฮสต์ทั้งหมดมีอยู่ในใบรับรองเดียว ซึ่งไม่สามารถใช้ได้กับใบรับรอง Let's Encrypt (จำกัด 20)

ใบรับรองไวด์การ์ดคือใบรับรองที่สามารถมีไวด์การ์ดได้:

• ตัวอย่างเช่น *.example.com, *.example.cn,ใช้ * เพื่อจับคู่โดเมนย่อยทั้งหมดโดยอัตโนมัติ
• องค์กรขนาดใหญ่สามารถใช้ใบรับรองไวด์การ์ดได้ และใบรับรอง SSL หนึ่งใบสามารถวางโฮสต์ได้มากขึ้น

ความแตกต่างระหว่างใบรับรองไวด์การ์ดและใบรับรอง SAN

1. ใบรับรองไวด์การ์ด - ใบรับรองไวด์การ์ดใช้กันอย่างแพร่หลายในการปกป้องโดเมนย่อยหลายโดเมนภายใต้ชื่อโดเมนที่มีคุณสมบัติครบถ้วนที่ไม่ซ้ำกันประโยชน์ของใบรับรองประเภทนี้คือ ไม่เพียงแต่ทำให้การจัดการใบรับรองง่ายขึ้น แต่ยังช่วยให้คุณลดต้นทุนค่าโสหุ้ยได้อีกด้วยปกป้องโดเมนย่อยในปัจจุบันและอนาคตของคุณตลอดเวลา
2. ใบรับรอง SAN - ใบรับรอง SAN (หรือที่เรียกว่าใบรับรองหลายโดเมน) ใช้เพื่อรักษาความปลอดภัยหลายโดเมนด้วยใบรับรองเดียวพวกเขาแตกต่างจากใบรับรองตัวแทนที่พวกเขาสนับสนุนทั้งหมดไม่ จำกัดโดเมนย่อย SAN รองรับเฉพาะชื่อโดเมนแบบเต็มที่ป้อนในใบรับรองเท่านั้น ใบรับรอง SAN นั้นน่าประทับใจเพราะการใช้ใบรับรองเหล่านี้คุณสามารถปกป้องชื่อโดเมนที่มีคุณสมบัติครบถ้วนมากกว่า 100 ชื่อได้ด้วยใบรับรองเดียว อย่างไรก็ตาม จำนวนการป้องกันขึ้นอยู่กับผู้ออกใบรับรอง

วิธีการใช้ขอเข้ารหัสใบรับรองไวด์การ์ด?

เพื่อใช้ใบรับรองสัญลักษณ์แทน Let's Encrypt ได้อัปเกรดการใช้งานโปรโตคอล ACME และมีเพียงโปรโตคอล v2 เท่านั้นที่รองรับใบรับรองตัวแทน

กล่าวคือ ลูกค้าทุกรายสามารถสมัครใบรับรองไวด์การ์ดได้ตราบเท่าที่รองรับ ACME v2

ดาวน์โหลด Certbot-Auto

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto --version

มาเข้ารหัสสคริปต์ใบรับรองไวด์การ์ดกันเถอะ

git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au
cd certbot-letencrypt-wildcardcertificates-alydns-au
chmod 0777 au.sh

มาเข้ารหัสสคริปต์การต่ออายุเวลาหมดอายุใบรับรองไวด์การ์ด

สคริปต์ที่นี่คือเซิร์ฟเวอร์ที่คอมไพล์และติดตั้งโดย nginx หรือติดตั้งผ่าน Docker, proxy https ผ่านโฮสต์พร็อกซี่หรือโหลดบาลานซ์โฮสต์ สำรองใบรับรอง SSL โดยอัตโนมัติ และรีสตาร์ทพร็อกซีเซิร์ฟเวอร์ Nginx

• หมายเหตุ: สคริปต์ใช้ the . จริงๆ ./certbot-auto renew

#!/usr/bin/env bash

cmd="$HOME/certbot-auto" 
restartNginxCmd="docker restart ghost_nginx_1"
action="renew"
auth="$HOME/certbot/au.sh php aly add"
cleanup="$HOME/certbot/au.sh php aly clean"
deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd"

$cmd $action \
--manual \
--preferred-challenges dns \
--deploy-hook \
"$deploy"\
--manual-auth-hook \
"$auth" \
--manual-cleanup-hook \
"$cleanup"

ร่วม crontab, แก้ไขไฟล์▼

/etc/crontab

#证书有效期<30天才会renew，所以crontab可以配置为1天或1周
0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh

สร้างการกำหนดค่าเซิร์ฟเวอร์ CWP ใหม่

นี่คือขั้นตอนสำหรับ CWP เพื่อสร้างเซิร์ฟเวอร์ nginx/apache ใหม่:

ขั้นตอนที่ 1: ที่ด้านซ้ายของแผงควบคุม CWP คลิกการตั้งค่าเว็บเซิร์ฟเวอร์ → เลือกเว็บเซิร์ฟเวอร์ ▼

ขั้นตอนที่ 2:เลือก Nginx & วานิช & Apache ▼

ขั้นตอนที่ 3:คลิกปุ่ม "บันทึกและสร้างการกำหนดค่าใหม่" ที่ด้านล่างเพื่อบันทึกและสร้างการกำหนดค่าใหม่

• รีเฟรชเว็บไซต์และคุณจะเห็นว่าวันหมดอายุของใบรับรอง SSL ได้รับการอัปเดตแล้ว

การอ่านเพิ่มเติม:

Linux Crontab รันคำสั่งงานสคริปต์เป็นประจำ & ตั้งค่าการใช้งานไฟล์การกำหนดค่า

กระบวนการ cron ในตัวของ Linux สามารถช่วยเราตอบสนองความต้องการของงานตามกำหนดเวลา การใช้ cron และเชลล์สคริปต์ ไม่มีปัญหาในการรันคำสั่งงานที่ซับซ้อนมากเป็นประจำโครนคืออะไร?สิ่งที่เรามักใช้คือคำสั่ง crontab ซึ่งก็คือ cron ta...