Let's Encrypt avtomatik ravishda yangilanadimi?Joker belgilar sertifikatini yangilash skriptini yangilang

oxirgi marta hal qilindiXato xabarini shifrlaymiz: AutoSSL muammosi amalga oshmadiDNS muammosidan so'ng, ushbu bepul SSL sertifikatida hal qilinishi kerak bo'lgan ba'zi muammolar mavjud.

CWP boshqaruv paneliDastlab Let's Encrypt sertifikati muddati tugashidan oldin avtomatik ravishda yangilangandek tuyulardi.Lekin kecha Let's Encrypt sertifikatni avtomatik ravishda yangilamadi.SEOTrafik keskin kamaydi, lekin xayriyatki, uni hal qilinganidan keyin tiklash mumkin.

Let's Encrypt nima?

Let's Encrypt - bu Internet xavfsizligini tadqiq qilish notijorat guruhi (ISRG) tomonidan taqdim etilgan bepul, avtomatlashtirilgan va ochiq sertifikat organi (CA).

Oddiy qilib aytganda, HTTPS (SSL/TLS) bizning veb-saytimizda Let's Encrypt tomonidan berilgan sertifikat yordamida bepul yoqilishi mumkin.

Let's Encrypt bepul sertifikatlarini chiqarish/yangilash skriptlar tomonidan avtomatlashtirilgan. Let's Encrypt sertifikatlarni chiqarish uchun Certbot mijozidan foydalanishni rasman tavsiya qiladi.

Quyida Let's Encrypt bepul SSL sertifikatiga qanday murojaat qilish bo'yicha o'quv qo'llanma▼

🔗 Let's Encrypt dasturiga qanday murojaat qilish kerak, Let's Encrypt SSL sertifikati printsipi va o'rnatish bo'yicha qo'llanma

Let's Encrypt joker belgisi sertifikati nima?

Joker sertifikatlar paydo bo'lishidan oldin Let's Encrypt faqat ikkita sertifikatni qo'llab-quvvatlagan:

1. Yagona domen sertifikati: Sertifikatda faqat bitta xost mavjud.
2. SAN sertifikati: Domen nomi sertifikati sifatida ham tanilgan, sertifikat bir nechta xostlarni o'z ichiga olishi mumkin (Keling, shifrlash chegarasi - 20).

Shaxsiy foydalanuvchilar uchun xostlar juda ko'p bo'lmagani uchun SAN sertifikatlaridan foydalanishda hech qanday muammo yo'q, lekin yirik kompaniyalar uchun ba'zi muammolar mavjud:

1. Ko'p subdomenlar mavjud va vaqt o'tishi bilan yangi xostdan foydalanish kerak bo'lishi mumkin.
2. Ro'yxatdan o'tgan domenlar ham ko'p.

Yirik korxonalar uchun SAN sertifikatlari talablarga javob bermasligi mumkin va barcha xostlar bitta sertifikatda joylashgan bo'lib, uni Let's Encrypt sertifikatlari bilan qoniqtirib bo'lmaydi (cheklov 20).

Joker belgilar sertifikatlari joker belgini o'z ichiga olishi mumkin bo'lgan sertifikatlardir:

• Masalan *.example.com, *.example.cn,Barcha subdomenlarni avtomatik moslashtirish uchun * dan foydalaning;
• Yirik korxonalar joker belgilar sertifikatlaridan ham foydalanishlari mumkin va bitta SSL sertifikati ko'proq xostlarni joylashtirishi mumkin.

Joker belgilar sertifikati va SAN sertifikati o'rtasidagi farq

1. Joker belgilar sertifikatlari - Wildcard sertifikatlari noyob to'liq malakali domen nomi ostida bir nechta subdomenlarni himoya qilish uchun keng qo'llaniladi.Ushbu turdagi sertifikatning afzalligi shundaki, u nafaqat sertifikatlarni boshqarishni osonlashtiradi, balki sizning qo'shimcha xarajatlaringizni kamaytirishga yordam beradi.U har doim joriy va kelajakdagi subdomenlaringizni himoya qiladi.
2. SAN sertifikatlari - SAN sertifikatlari (shuningdek, ko'p domen sertifikatlari sifatida ham tanilgan) bir sertifikat bilan bir nechta domenlarni himoya qilish uchun ishlatiladi.Ular joker sertifikatlardan barchasini qo'llab-quvvatlashi bilan farq qiladicheksizsubdomenlar. SAN faqat sertifikatga kiritilgan to'liq malakali domen nomini qo'llab-quvvatlaydi. SAN sertifikatlari ta'sirchan, chunki ulardan foydalangan holda siz 100 dan ortiq turli xil to'liq malakali domen nomlarini bitta sertifikat bilan himoya qilishingiz mumkin; ammo, himoya miqdori sertifikat beruvchi organga bog'liq.

qanday murojaat qilish kerakKeling, shifrlanamizJoker belgilar sertifikati?

Joker belgilar sertifikatlarini amalga oshirish uchun Let's Encrypt ACME protokolini amalga oshirishni yangiladi va faqat v2 protokoli joker belgilar sertifikatlarini qo'llab-quvvatlashi mumkin.

Ya'ni, har qanday mijoz ACME v2 ni qo'llab-quvvatlasa, joker belgilar sertifikatiga murojaat qilishi mumkin.

Certbot-Auto-ni yuklab oling

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto --version

Keling, Wildcard sertifikat skriptini shifrlaymiz

git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au
cd certbot-letencrypt-wildcardcertificates-alydns-au
chmod 0777 au.sh

Joker belgilar sertifikatining amal qilish muddatini yangilash skriptini shifrlaymiz

Bu erda skript nginx tomonidan tuzilgan va o'rnatilgan yoki Docker orqali o'rnatilgan server, host proksi-server yoki yukni muvozanatlash hosti orqali proksi https, SSL sertifikatini avtomatik ravishda zaxiralash va Nginx proksi-serverini qayta ishga tushirish.

• Eslatma: Skript aslida foydalanadi ./certbot-auto renew

#!/usr/bin/env bash

cmd="$HOME/certbot-auto" 
restartNginxCmd="docker restart ghost_nginx_1"
action="renew"
auth="$HOME/certbot/au.sh php aly add"
cleanup="$HOME/certbot/au.sh php aly clean"
deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd"

$cmd $action \
--manual \
--preferred-challenges dns \
--deploy-hook \
"$deploy"\
--manual-auth-hook \
"$auth" \
--manual-cleanup-hook \
"$cleanup"

Qo'shilish crontab, faylni tahrirlash▼

/etc/crontab

#证书有效期<30天才会renew，所以crontab可以配置为1天或1周
0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh

CWP server konfiguratsiyasi qayta tiklandi

Nginx/apache serverini qayta tiklash uchun CWP uchun qadamlar:

1-qadam: CWP Boshqaruv panelining chap tomonida Veb-server sozlamalari → Veb-serverlarni tanlang ▼

2 yil:选择 Nginx & Vernik & Apache ▼

3 yil:Konfiguratsiyani saqlash va qayta tiklash uchun pastki qismidagi "Konfiguratsiyani saqlash va qayta qurish" tugmasini bosing.

• Veb-saytni yangilang va siz SSL sertifikatining amal qilish muddati yangilanganligini ko'rasiz.

Kengaytirilgan o'qish:

🔗Linux Crontab rejalashtirilgan bajarish skripti topshirig'i buyrug'i va konfiguratsiya faylidan foydalanish