Awtomatikong nagre-renew ba ang Let's Encrypt?I-update ang script ng pag-renew ng wildcard na certificate

nalutas sa huling pagkakataonNabigong mag-apply upang i-install ang Let's Encrypt Error Message: AutoSSL Issue FailedPagkatapos ng problema sa DNS, ang libreng SSL certificate na ito ay may ilang problemang dapat lutasin.

CWP Control PanelSa orihinal, tila ang sertipiko ng Let's Encrypt ay awtomatikong na-renew bago ito nag-expire. Gayunpaman, kahapon, ang Let's Encrypt ay hindi awtomatikong nag-renew ng sertipiko.SEOBumaba nang husto ang trapiko, ngunit sa kabutihang palad ay maaari itong mabawi pagkatapos maayos ang solusyon.

Ano ang Let's Encrypt?

Ang Let's Encrypt ay isang libre, awtomatiko at bukas na Certificate Authority (CA) na ibinigay ng non-profit na Internet Security Research Group (ISRG).

Sa madaling salita, maaaring paganahin ang HTTPS (SSL/TLS) para sa aming website nang libre sa tulong ng isang sertipiko na ibinigay ng Let's Encrypt.

Ang pagpapalabas/pag-renew ng mga libreng certificate ng Let's Encrypt ay awtomatiko sa pamamagitan ng mga script. Opisyal na inirerekomenda ng Let's Encrypt ang paggamit ng Certbot client para mag-isyu ng mga certificate.

Ang sumusunod ay isang tutorial kung paano mag-apply para sa Let's Encrypt na libreng SSL certificate▼

Paano mag-apply para sa Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial

Paano mag-apply para sa Let's Encrypt?I-encrypt Natin ang Prinsipyo ng SSL Certificate at Tutorial sa Pag-install Ano ang SSL?Ang nakaraang artikulo ni Chen Weiliang "Ano ang pagkakaiba ng http vs https? Nabanggit ito sa "Detalyadong Paliwanag ng Proseso ng SSL Encryption".Maliban ang mga ecommerce na site ay kailangang bumili ng premium...

Ano ang Let's Encrypt wildcard certificate?

Bago lumabas ang mga wildcard na certificate, 2 certificate lang ang sinusuportahan ng Let's Encrypt:

1. Single Domain Certificate: Ang certificate ay naglalaman lamang ng isang host.
2. Sertipiko ng SAN: Kilala rin bilang sertipiko ng domain name, ang isang sertipiko ay maaaring magsama ng maraming host (Ang limitasyon ng Let's Encrypt ay 20).

Para sa mga indibidwal na gumagamit, dahil walang masyadong maraming host, talagang walang problema sa paggamit ng mga sertipiko ng SAN, ngunit para sa malalaking kumpanya mayroong ilang mga problema:

1. Mayroong maraming mga subdomain, at maaaring kailanganin ang isang bagong host sa paglipas ng panahon.
2. Marami ring nakarehistrong domain.

Para sa malalaking negosyo, maaaring hindi matugunan ng mga sertipiko ng SAN ang mga pangangailangan, at lahat ng mga host ay nasa isang sertipiko, na hindi masisiyahan sa mga sertipiko ng Let's Encrypt (limit 20).

Ang mga wildcard certificate ay mga certificate na maaaring maglaman ng wildcard:

• Halimbawa *.example.com, *.example.cn,Gamitin ang * upang awtomatikong tumugma sa lahat ng mga subdomain;
• Ang mga malalaking negosyo ay maaari ding gumamit ng mga wildcard na sertipiko, at ang isang SSL certificate ay maaaring maglagay ng higit pang mga host.

Pagkakaiba sa pagitan ng wildcard certificate at SAN certificate

1. Mga Sertipiko ng Wildcard - Ang mga sertipiko ng wildcard ay malawakang ginagamit upang protektahan ang maramihang mga subdomain sa ilalim ng isang natatanging ganap na kwalipikadong pangalan ng domain.Ang pakinabang ng ganitong uri ng certificate ay hindi lamang nito pinapadali ang pamamahala sa mga certificate, ngunit nakakatulong din ito sa iyo na bawasan ang iyong mga gastos sa overhead.Pinoprotektahan nito ang iyong kasalukuyan at hinaharap na mga subdomain sa lahat ng oras.
2. Mga sertipiko ng SAN - Ang mga sertipiko ng SAN (kilala rin bilang mga sertipiko ng multi-domain) ay ginagamit upang ma-secure ang maraming domain gamit ang isang sertipiko.Naiiba sila sa mga wildcard na certificate dahil sinusuportahan nila ang lahatwalang hanggananmga subdomain. Sinusuportahan lamang ng SAN ang ganap na kwalipikadong pangalan ng domain na inilagay sa sertipiko. Ang mga sertipiko ng SAN ay kahanga-hanga dahil sa paggamit ng mga ito maaari mong protektahan ang higit sa 100 iba't ibang ganap na kwalipikadong mga pangalan ng domain na may isang sertipiko; gayunpaman, ang halaga ng proteksyon ay nakasalalay sa awtoridad na nagbibigay ng sertipiko.

Paano mag-applyMag-encrypt tayoMga wildcard na certificate?

Upang maipatupad ang mga wildcard certificate, na-upgrade ng Let's Encrypt ang pagpapatupad ng ACME protocol, at ang v2 protocol lang ang makakasuporta sa mga wildcard na certificate.

Ibig sabihin, maaaring mag-aplay ang sinumang kliyente para sa isang wildcard na certificate hangga't sinusuportahan nito ang ACME v2.

I-download ang Certbot-Auto

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto --version

I-encrypt Natin ang Wildcard Certificate Script

git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au
cd certbot-letencrypt-wildcardcertificates-alydns-au
chmod 0777 au.sh

Let's Encrypt wildcard certificate expiration timing renewal script

Ang script dito ay isang server na pinagsama-sama at na-install ng nginx o na-install sa pamamagitan ng Docker, proxy https sa pamamagitan ng host proxy o load balancing host, awtomatikong i-back up ang SSL certificate, at i-restart ang Nginx proxy server.

• Tandaan: Ginagamit talaga ng script ang ./certbot-auto renew

#!/usr/bin/env bash

cmd="$HOME/certbot-auto" 
restartNginxCmd="docker restart ghost_nginx_1"
action="renew"
auth="$HOME/certbot/au.sh php aly add"
cleanup="$HOME/certbot/au.sh php aly clean"
deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd"

$cmd $action \
--manual \
--preferred-challenges dns \
--deploy-hook \
"$deploy"\
--manual-auth-hook \
"$auth" \
--manual-cleanup-hook \
"$cleanup"

Sumali crontab, i-edit ang file▼

/etc/crontab

#证书有效期<30天才会renew，所以crontab可以配置为1天或1周
0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh

Muling pagbuo ng configuration ng CWP server

Narito ang mga hakbang para sa CWP upang muling itayo ang nginx/apache server:

Hakbang 1: Sa kaliwang bahagi ng CWP Control Panel, i-click ang Mga Setting ng WebServer → Piliin ang WebServers ▼

第 2 步 ：pumili ka Nginx at Varnish at Apache ▼

第 3 步 ：I-click ang button na "I-save at Muling Buuin ang Configuration" sa ibaba upang i-save at muling itayo ang configuration.

• I-refresh ang website at makikita mo na ang petsa ng pag-expire ng SSL certificate ay na-update.

Pinalawak na pagbabasa:

Ang Linux Crontab ay regular na nagpapatupad ng mga script task command at nagtatakda ng paggamit ng configuration file

Ang built-in na proseso ng cron ng Linux ay makakatulong sa amin na matugunan ang mga pangangailangan ng pagsasagawa ng mga nakaiskedyul na gawain. Sa pamamagitan ng paggamit ng cron at shell script, walang problema sa regular na pagpapatupad ng napakakomplikadong task command.Ano ang Cron?Ang madalas nating ginagamit ay ang crontab command, na cron ta...