ไดเรกทอรีบทความ
แก้ครั้งที่แล้วไม่สามารถนำไปใช้กับการติดตั้ง Let's Encrypt ข้อความแสดงข้อผิดพลาด: ปัญหา AutoSSL ล้มเหลวหลังจากปัญหา DNS ใบรับรอง SSL ฟรีนี้มีปัญหาที่ต้องแก้ไข
แผงควบคุม CWPในขั้นต้น ดูเหมือนว่าใบรับรอง Let's Encrypt จะได้รับการต่ออายุโดยอัตโนมัติก่อนที่จะหมดอายุ อย่างไรก็ตาม เมื่อวานนี้ Let's Encrypt ไม่ได้ต่ออายุใบรับรองโดยอัตโนมัติSEOปริมาณการใช้ข้อมูลลดลงอย่างรวดเร็ว แต่โชคดีที่สามารถกู้คืนได้หลังจากแก้ไขปัญหาแล้ว
Let's Encrypt คืออะไร?
Let's Encrypt เป็นผู้ออกใบรับรอง (CA) แบบเปิดอัตโนมัติที่ให้บริการฟรีโดย Internet Security Research Group (ISRG) ที่ไม่แสวงหาผลกำไร
พูดง่ายๆ ก็คือ สามารถเปิดใช้งาน HTTPS (SSL/TLS) สำหรับเว็บไซต์ของเราได้ฟรีด้วยความช่วยเหลือของใบรับรองที่ออกโดย Let's Encrypt
การออก/ต่ออายุใบรับรองฟรีของ Let's Encrypt เป็นแบบอัตโนมัติโดยสคริปต์ Let's Encrypt ขอแนะนำให้ใช้ไคลเอ็นต์ Certbot อย่างเป็นทางการในการออกใบรับรอง
ต่อไปนี้เป็นบทช่วยสอนเกี่ยวกับวิธีการสมัครใบรับรอง SSL ฟรีของ Let's Encrypt ▼
ใบรับรองสัญลักษณ์แทน Let's Encrypt คืออะไร
ก่อนที่ใบรับรองไวด์การ์ดจะปรากฏขึ้น Let's Encrypt รองรับ 2 ใบรับรองเท่านั้น:
- ใบรับรองโดเมนเดียว: ใบรับรองมีโฮสต์เดียวเท่านั้น
- ใบรับรอง SAN: หรือที่เรียกว่าใบรับรองชื่อโดเมน ใบรับรองสามารถมีได้หลายโฮสต์ (ขีด จำกัด Let's Encrypt คือ 20)
สำหรับผู้ใช้แต่ละราย เนื่องจากมีโฮสต์ไม่มากเกินไป จึงไม่มีปัญหากับการใช้ใบรับรอง SAN อย่างแน่นอน แต่สำหรับบริษัทขนาดใหญ่จะมีปัญหาบางประการ:
- มีโดเมนย่อยจำนวนมาก และอาจจำเป็นต้องใช้โฮสต์ใหม่เมื่อเวลาผ่านไป
- นอกจากนี้ยังมีโดเมนที่ลงทะเบียนจำนวนมาก
สำหรับองค์กรขนาดใหญ่ ใบรับรอง SAN อาจไม่ตรงตามความต้องการ และโฮสต์ทั้งหมดมีอยู่ในใบรับรองเดียว ซึ่งไม่สามารถใช้ได้กับใบรับรอง Let's Encrypt (จำกัด 20)
ใบรับรองไวด์การ์ดคือใบรับรองที่สามารถมีไวด์การ์ดได้:
- ตัวอย่างเช่น *.example.com, *.example.cn,ใช้ * เพื่อจับคู่โดเมนย่อยทั้งหมดโดยอัตโนมัติ
- องค์กรขนาดใหญ่สามารถใช้ใบรับรองไวด์การ์ดได้ และใบรับรอง SSL หนึ่งใบสามารถวางโฮสต์ได้มากขึ้น
ความแตกต่างระหว่างใบรับรองไวด์การ์ดและใบรับรอง SAN
- ใบรับรองไวด์การ์ด - ใบรับรองไวด์การ์ดใช้กันอย่างแพร่หลายในการปกป้องโดเมนย่อยหลายโดเมนภายใต้ชื่อโดเมนที่มีคุณสมบัติครบถ้วนที่ไม่ซ้ำกันประโยชน์ของใบรับรองประเภทนี้คือ ไม่เพียงแต่ทำให้การจัดการใบรับรองง่ายขึ้น แต่ยังช่วยให้คุณลดต้นทุนค่าโสหุ้ยได้อีกด้วยปกป้องโดเมนย่อยในปัจจุบันและอนาคตของคุณตลอดเวลา
- ใบรับรอง SAN - ใบรับรอง SAN (หรือที่เรียกว่าใบรับรองหลายโดเมน) ใช้เพื่อรักษาความปลอดภัยหลายโดเมนด้วยใบรับรองเดียวพวกเขาแตกต่างจากใบรับรองตัวแทนที่พวกเขาสนับสนุนทั้งหมดไม่ จำกัดโดเมนย่อย SAN รองรับเฉพาะชื่อโดเมนแบบเต็มที่ป้อนในใบรับรองเท่านั้น ใบรับรอง SAN นั้นน่าประทับใจเพราะการใช้ใบรับรองเหล่านี้คุณสามารถปกป้องชื่อโดเมนที่มีคุณสมบัติครบถ้วนมากกว่า 100 ชื่อได้ด้วยใบรับรองเดียว อย่างไรก็ตาม จำนวนการป้องกันขึ้นอยู่กับผู้ออกใบรับรอง
วิธีการใช้ขอเข้ารหัสใบรับรองไวด์การ์ด?
เพื่อใช้ใบรับรองสัญลักษณ์แทน Let's Encrypt ได้อัปเกรดการใช้งานโปรโตคอล ACME และมีเพียงโปรโตคอล v2 เท่านั้นที่รองรับใบรับรองตัวแทน
กล่าวคือ ลูกค้าทุกรายสามารถสมัครใบรับรองไวด์การ์ดได้ตราบเท่าที่รองรับ ACME v2
ดาวน์โหลด Certbot-Auto
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto --version
มาเข้ารหัสสคริปต์ใบรับรองไวด์การ์ดกันเถอะ
git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au cd certbot-letencrypt-wildcardcertificates-alydns-au chmod 0777 au.sh
มาเข้ารหัสสคริปต์การต่ออายุเวลาหมดอายุใบรับรองไวด์การ์ด
สคริปต์ที่นี่คือเซิร์ฟเวอร์ที่คอมไพล์และติดตั้งโดย nginx หรือติดตั้งผ่าน Docker, proxy https ผ่านโฮสต์พร็อกซี่หรือโหลดบาลานซ์โฮสต์ สำรองใบรับรอง SSL โดยอัตโนมัติ และรีสตาร์ทพร็อกซีเซิร์ฟเวอร์ Nginx
- หมายเหตุ: สคริปต์ใช้ the . จริงๆ
./certbot-auto renew
#!/usr/bin/env bash cmd="$HOME/certbot-auto" restartNginxCmd="docker restart ghost_nginx_1" action="renew" auth="$HOME/certbot/au.sh php aly add" cleanup="$HOME/certbot/au.sh php aly clean" deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd" $cmd $action \ --manual \ --preferred-challenges dns \ --deploy-hook \ "$deploy"\ --manual-auth-hook \ "$auth" \ --manual-cleanup-hook \ "$cleanup"
ร่วม crontab, แก้ไขไฟล์▼
/etc/crontab
#证书有效期<30天才会renew,所以crontab可以配置为1天或1周 0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh
สร้างการกำหนดค่าเซิร์ฟเวอร์ CWP ใหม่
นี่คือขั้นตอนสำหรับ CWP เพื่อสร้างเซิร์ฟเวอร์ nginx/apache ใหม่:
ขั้นตอนที่ 1: ที่ด้านซ้ายของแผงควบคุม CWP คลิกการตั้งค่าเว็บเซิร์ฟเวอร์ → เลือกเว็บเซิร์ฟเวอร์ ▼
ขั้นตอนที่ 2:เลือก Nginx & วานิช & Apache ▼
ขั้นตอนที่ 3:คลิกปุ่ม "บันทึกและสร้างการกำหนดค่าใหม่" ที่ด้านล่างเพื่อบันทึกและสร้างการกำหนดค่าใหม่
- รีเฟรชเว็บไซต์และคุณจะเห็นว่าวันหมดอายุของใบรับรอง SSL ได้รับการอัปเดตแล้ว
การอ่านเพิ่มเติม:
หวัง Chen Weiliang บล็อก ( https://www.chenweiliang.com/ ) แชร์ "Let's Encrypt ไม่ต่ออายุอัตโนมัติ?อัปเดตสคริปต์การต่ออายุใบรับรอง Wildcard" เพื่อช่วยคุณ
ยินดีต้อนรับสู่การแบ่งปันลิงค์ของบทความนี้:https://www.chenweiliang.com/cwl-1199.html
ยินดีต้อนรับสู่ช่อง Telegram ของบล็อกของ Chen Weiliang เพื่อรับข่าวสารล่าสุด!
📚 คู่มือนี้มีคุณค่ามหาศาล 🌟 นี่เป็นโอกาสที่หายาก อย่าพลาด! ⏰⌛💨
แชร์และชอบถ้าคุณชอบ!
การแบ่งปันและไลค์ของคุณเป็นแรงจูงใจอย่างต่อเนื่องของเรา!