Thư mục bài viết
giải quyết lần trướcKhông thể áp dụng để cài đặt Thông báo lỗi Let's Encrypt: Sự cố AutoSSL không thành côngSau sự cố DNS, chứng chỉ SSL miễn phí này có một số vấn đề cần giải quyết.
Bảng điều khiển CWPBan đầu, có vẻ như chứng chỉ Let's Encrypt đã được tự động gia hạn trước khi hết hạn, tuy nhiên, ngày hôm qua, Let's Encrypt đã không tự động gia hạn chứng chỉ.SEOLưu lượng truy cập giảm mạnh, nhưng may mắn thay nó có thể được khôi phục sau khi giải pháp được khắc phục.
Let's Encrypt là gì?
Let's Encrypt là Cơ quan cấp chứng chỉ (CA) miễn phí, tự động và mở được cung cấp bởi Nhóm nghiên cứu bảo mật Internet (ISRG) phi lợi nhuận.
Nói một cách đơn giản, HTTPS (SSL / TLS) có thể được kích hoạt miễn phí cho trang web của chúng tôi với sự trợ giúp của chứng chỉ do Let's Encrypt cấp.
Việc cấp / gia hạn chứng chỉ miễn phí Let's Encrypt được tự động hóa bằng các tập lệnh. Let's Encrypt chính thức khuyến nghị sử dụng ứng dụng khách Certbot để cấp chứng chỉ.
Sau đây là hướng dẫn cách đăng ký chứng chỉ SSL miễn phí Let's Encrypt ▼
Chứng chỉ ký tự đại diện Let's Encrypt là gì?
Trước khi chứng chỉ ký tự đại diện xuất hiện, Let's Encrypt chỉ hỗ trợ 2 chứng chỉ:
- Chứng chỉ miền đơn: Chứng chỉ chỉ chứa một máy chủ lưu trữ.
- Chứng chỉ SAN: Còn được gọi là chứng chỉ tên miền, một chứng chỉ có thể bao gồm nhiều máy chủ (giới hạn Let's Encrypt là 20).
Đối với người dùng cá nhân, vì không có quá nhiều máy chủ nên hoàn toàn không có vấn đề gì khi sử dụng chứng chỉ SAN, nhưng đối với các công ty lớn thì có một số vấn đề:
- Có rất nhiều tên miền phụ và có thể cần phải sử dụng một máy chủ mới theo thời gian.
- Ngoài ra còn có rất nhiều tên miền được đăng ký.
Đối với các doanh nghiệp lớn, chứng chỉ SAN có thể không đáp ứng được nhu cầu và tất cả các máy chủ được chứa trong một chứng chỉ, điều này không thể đáp ứng được bằng cách sử dụng chứng chỉ Let's Encrypt (giới hạn 20).
Chứng chỉ ký tự đại diện là chứng chỉ có thể chứa ký tự đại diện:
- Ví dụ: * .example.com, * .example.cn,Sử dụng * để tự động khớp tất cả các miền phụ;
- Các doanh nghiệp lớn cũng có thể sử dụng chứng chỉ ký tự đại diện và một chứng chỉ SSL có thể đặt nhiều máy chủ hơn.
Sự khác biệt giữa chứng chỉ ký tự đại diện và chứng chỉ SAN
- Chứng chỉ ký tự đại diện - Chứng chỉ ký tự đại diện được sử dụng rộng rãi để bảo vệ nhiều miền phụ dưới một tên miền duy nhất đủ điều kiện.Lợi ích của loại chứng chỉ này là nó không chỉ giúp việc quản lý chứng chỉ trở nên dễ dàng mà còn giúp bạn giảm chi phí phát sinh.Nó bảo vệ các miền phụ hiện tại và trong tương lai của bạn mọi lúc.
- Chứng chỉ SAN - Chứng chỉ SAN (còn được gọi là chứng chỉ đa miền) được sử dụng để bảo mật nhiều miền với một chứng chỉ duy nhất.Chúng khác với các chứng chỉ ký tự đại diện ở chỗ chúng hỗ trợ tất cảVô hạntên miền phụ. SAN chỉ hỗ trợ tên miền đủ điều kiện được nhập trong chứng chỉ. Chứng chỉ SAN rất ấn tượng vì sử dụng chúng, bạn có thể bảo vệ hơn 100 tên miền đủ tiêu chuẩn khác nhau chỉ với một chứng chỉ duy nhất; tuy nhiên, mức độ bảo vệ phụ thuộc vào cơ quan cấp chứng chỉ.
làm sao để đăng kíHãy mã hóaChứng chỉ ký tự đại diện?
Để triển khai chứng chỉ ký tự đại diện, Let's Encrypt đã nâng cấp việc triển khai giao thức ACME và chỉ giao thức v2 mới có thể hỗ trợ chứng chỉ ký tự đại diện.
Có nghĩa là, bất kỳ ứng dụng khách nào cũng có thể đăng ký chứng chỉ ký tự đại diện miễn là nó hỗ trợ ACME v2.
Tải xuống Certbot-Auto
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto --version
Hãy mã hóa tập lệnh chứng chỉ ký tự đại diện
git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au cd certbot-letencrypt-wildcardcertificates-alydns-au chmod 0777 au.sh
Tập lệnh gia hạn thời gian hết hạn chứng chỉ Let's Encrypt ký tự đại diện
Tập lệnh ở đây là máy chủ do nginx biên dịch và cài đặt hoặc cài đặt thông qua Docker, proxy https thông qua proxy máy chủ hoặc máy chủ cân bằng tải, tự động sao lưu chứng chỉ SSL và khởi động lại máy chủ proxy Nginx.
- Lưu ý: Tập lệnh thực sự sử dụng
./certbot-auto renew
#!/usr/bin/env bash cmd="$HOME/certbot-auto" restartNginxCmd="docker restart ghost_nginx_1" action="renew" auth="$HOME/certbot/au.sh php aly add" cleanup="$HOME/certbot/au.sh php aly clean" deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd" $cmd $action \ --manual \ --preferred-challenges dns \ --deploy-hook \ "$deploy"\ --manual-auth-hook \ "$auth" \ --manual-cleanup-hook \ "$cleanup"
加入 crontab, chỉnh sửa tệp ▼
/etc/crontab
#证书有效期<30天才会renew,所以crontab可以配置为1天或1周 0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh
Xây dựng lại cấu hình máy chủ CWP
Dưới đây là các bước để CWP xây dựng lại máy chủ nginx / apache:
Bước 1: Ở bên trái của Bảng điều khiển CWP, nhấp vào Cài đặt WebServer → Chọn WebServers ▼
第 2 步 :Chọn Nginx & Varnish & Apache ▼
第 3 步 :Nhấp vào nút "Lưu & Xây dựng lại Cấu hình" ở dưới cùng để lưu và xây dựng lại cấu hình.
- Làm mới trang web và bạn sẽ thấy ngày hết hạn của chứng chỉ SSL đã được cập nhật.
Đọc thêm:
Hy vọng Chen Weiliang Blog ( https://www.chenweiliang.com/ ) đã chia sẻ “Let's Encrypt không tự động gia hạn?Cập nhật Tập lệnh gia hạn chứng chỉ ký tự đại diện "để giúp bạn.
Chào mừng bạn đến chia sẻ liên kết của bài viết này:https://www.chenweiliang.com/cwl-1199.html
Chào mừng bạn đến với kênh Telegram trên blog của Chen Weiliang để cập nhật những thông tin mới nhất!
📚 Hướng dẫn này chứa đựng giá trị to lớn, 🌟Đây là cơ hội hiếm có, đừng bỏ lỡ! ⏰⌛💨
Chia sẻ và thích nếu bạn thích!
Chia sẻ và thích của bạn là động lực không ngừng của chúng tôi!