טוט Let's Encrypt באַנייַען אויטאָמאַטיש?דערהייַנטיקן די רינואַל שריפט פון ווילדקאַרד באַווייַזן

סאַלווד לעצטע מאָלניט אַנדערש צו צולייגן צו ינסטאַלירן זאל ס ענקריפּט טעות אָנזאָג: אַוטאָססל אַרויסגעבן איז ניט אַנדערשנאָך די דנס פּראָבלעם, דעם פריי ססל באַווייַזן האט עטלעכע פּראָבלעמס צו סאָלווע.

CWP קאָנטראָל פּאַנעלארגינעל האט אויסגעזען אז די Let's Encrypt סערטיפיקאט איז אויטאמאטיש באנייט געווארן איידער עס איז אויסגעגאנגען, אבער נעכטן האט Let's Encrypt נישט אויטאמאטיש באנייט די סערטיפיקאט.סעאָדער פאַרקער דראַפּט שארף, אָבער צומ גליק עס קענען זיין ריקאַווערד נאָך די לייזונג איז פאַרפעסטיקט.

וואָס איז Let's Encrypt?

זאל ס ענקריפּט איז אַ פריי, אָטאַמייטיד און עפענען סערטיפיקאַט אויטאָריטעט (CA) צוגעשטעלט דורך די נאַן-נוץ אינטערנעץ סעקוריטי פאָרשונג גרופע (ISRG).

סימפּלי שטעלן, HTTPS (SSL / TLS) קענען זיין ענייבאַלד פֿאַר אונדזער וועבזייטל פֿאַר פריי מיט די הילף פון אַ באַווייַזן ארויס דורך Let's Encrypt.

די אַרויסגעבן / רינואַל פון Let's Encrypt פריי סערטיפיקאַץ איז אָטאַמייטיד דורך סקריפּס.

די פאלגענדע איז אַ טוטאָריאַל וועגן ווי צו צולייגן פֿאַר אַ Let's Encrypt פריי SSL באַווייַזן▼

ווי צו צולייגן פֿאַר Let's Encrypt?

ווי צו צולייגן פֿאַר Let's Encrypt?זאל ס ענקריפּט ססל סערטיפיקאַט פּרינציפּ & ינסטאַללאַטיאָן טוטאָריאַל וואָס איז ססל?Chen Weiliang ס פריערדיקן אַרטיקל "וואָס איז די חילוק צווישן הטטפּ ווס הטטפּס? עס איז דערמאנט אין די "דיטיילד דערקלערונג פון ססל ענקריפּשאַן פּראָצעס".אַחוץ עקאָממערסע זייטלעך האָבן צו קויפן פּרעמיע ...

וואָס איז אַ Let's Encrypt ווילדקאַרד באַווייַזן?

איידער ווילדקאַרד סערטיפיקאַץ ארויס, Let's Encrypt שטיצט בלויז 2 סערטיפיקאַץ:

1. איין פעלד סערטיפיקאַט: די באַווייַזן כּולל בלויז איין באַלעבאָס.
2. SAN באַווייַזן: אויך באקאנט ווי פעלד נאָמען באַווייַזן, אַ באַווייַזן קענען אַרייַננעמען קייפל מחנות (זאל ס ענקריפּט לימיט איז 20).

פֿאַר יחיד ניצערס, זינט עס זענען נישט צו פילע מחנות, עס איז לעגאַמרע קיין פּראָבלעם מיט די נוצן פון SAN סערטיפיקאַץ, אָבער פֿאַר גרויס קאָמפּאַניעס עס זענען עטלעכע פראבלעמען:

1. עס זענען פילע סובדאָמאַינס, און עס קען זיין נייטיק צו נוצן אַ נייַע באַלעבאָס איבער צייט.
2. עס זענען אויך אַ פּלאַץ פון רעגיסטרירט דאָומיינז.

פֿאַר גרויס ענטערפּריסעס, SAN סערטיפיקאַץ קען נישט טרעפן די באדערפענישן, און אַלע מחנות זענען קאַנטיינד אין איין באַווייַזן, וואָס קענען ניט זיין צופֿרידן מיט Let's Encrypt סערטיפיקאַץ (לימיט 20).

ווילדקאַרד סערטיפיקאַץ זענען סערטיפיקאַץ וואָס קענען אַנטהאַלטן אַ ווילדקאַרד:

• למשל *.example.com, *.example.cn,ניצן * צו אויטאָמאַטיש גלייַכן אַלע סובדאָמאַינס;
• גרויס ענטערפּריסעס קענען אויך נוצן ווילדקאַרד סערטיפיקאַץ, און איין SSL באַווייַזן קענען שטעלן מער מחנות.

דער חילוק צווישן ווילדקאַרד באַווייַזן און SAN באַווייַזן

1. ווילדקאַרד סערטיפיקאַץ - ווילדקאַרד סערטיפיקאַץ זענען וויידלי געניצט צו באַשיצן קייפל סובדאָמאַינס אונטער אַ יינציק גאָר קוואַלאַפייד פעלד נאָמען.די נוץ פון דעם טיפּ פון באַווייַזן איז אַז עס איז נישט בלויז גרינג צו פירן סערטיפיקאַץ, אָבער אויך העלפּס איר רעדוצירן דיין אָוווערכעד קאָס.עס פּראַטעקץ דיין קראַנט און צוקונפֿט סובדאָמאַינס אין אַלע צייט.
2. SAN סערטיפיקאַץ - SAN סערטיפיקאַץ (אויך באקאנט ווי מאַלטי-פעלד סערטיפיקאַץ) זענען געניצט צו באַוואָרענען קייפל דאָומיינז מיט אַ איין באַווייַזן.זיי אַנדערש פון ווילדקאַרד סערטיפיקאַץ אין אַז זיי שטיצן אַלעאַנלימאַטאַדסובדאָמאַינס. SAN בלויז שטיצט די גאָר קוואַלאַפייד פעלד נאָמען אריין אין די באַווייַזן. SAN סערטיפיקאַץ זענען ימפּרעסיוו ווייַל ניצן זיי איר קענען באַשיצן איבער 100 פאַרשידענע גאָר קוואַלאַפייד פעלד נעמען מיט אַ איין באַווייַזן; אָבער, די סומע פון ​​שוץ דעפּענדס אויף די ארויסגעבן באַווייַזן אויטאָריטעט.

ווי צו צולייגןזאל ס ענקריפּטווילדקאַרד באַווייַזן?

אין סדר צו ינסטרומענט ווילדקאַרד סערטיפיקאַץ, Let's Encrypt האט אַפּגריידיד די ימפּלאַמענטיישאַן פון די ACME פּראָטאָקאָל, און בלויז די וו2 פּראָטאָקאָל קענען שטיצן ווילדקאַרד סערטיפיקאַץ.

דאָס איז צו זאָגן, יעדער קליענט קענען אָנווענדן פֿאַר אַ ווילדקאַרד באַווייַזן אַזוי לאַנג ווי עס שטיצט ACME v2.

אראפקאפיע Certbot-Auto

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto --version

זאל ס ענקריפּט ווילדקאַרד סערטיפיקאַט סקריפּט

git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au
cd certbot-letencrypt-wildcardcertificates-alydns-au
chmod 0777 au.sh

זאל ס ענקריפּט ווילדקאַרד באַווייַזן עקספּעריישאַן טיימינג רינואַל שריפט

דער שריפט דאָ איז אַ סערווער קאַמפּיילד און אינסטאַלירן דורך נגינקס אָדער אינסטאַלירן דורך דאָקער, פראקסי הטטפּס דורך דער באַלעבאָס פראקסי אָדער מאַסע באַלאַנסינג באַלעבאָס, אויטאָמאַטיש באַקאַפּ די ססל באַווייַזן און ריסטאַרט די Nginx פראקסי סערווער.

• באַמערקונג: דער שריפט אַקשלי ניצט די ./certbot-auto renew

#!/usr/bin/env bash

cmd="$HOME/certbot-auto" 
restartNginxCmd="docker restart ghost_nginx_1"
action="renew"
auth="$HOME/certbot/au.sh php aly add"
cleanup="$HOME/certbot/au.sh php aly clean"
deploy="cp -r /etc/letsencrypt/ /home/pi/dnmp/services/nginx/ssl/ && $restartNginxCmd"

$cmd $action \
--manual \
--preferred-challenges dns \
--deploy-hook \
"$deploy"\
--manual-auth-hook \
"$auth" \
--manual-cleanup-hook \
"$cleanup"

פאַרבינדן crontab, רעדאַגירן טעקע▼

/etc/crontab

#证书有效期<30天才会renew，所以crontab可以配置为1天或1周
0 0 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && /home/pi/crontab.sh

ריבילד CWP סערווער קאַנפיגיעריישאַן

דאָ זענען די סטעפּס פֿאַר CWP צו ריבילד די nginx/apache סערווער:

שריט 1: אויף די לינקס זייַט פון די CWP קאָנטראָל פּאַנעל, גיט וועבסערווער סעטטינגס → אויסקלייַבן וועבסערווערס ▼

第 2 步:אויסקלייַבן נגינקס & וואַרניש & אַפּאַטשי ▼

第 3 步:דריקט דעם "היט & ריבילד קאַנפיגיעריישאַן" קנעפּל אין די דנאָ צו ראַטעווען און ריבילד די קאַנפיגיעריישאַן.

• דערפרישן די וועבזייטל און איר וועט זען אַז די עקספּעריישאַן טאָג פון די SSL באַווייַזן איז דערהייַנטיקט.

עקסטענדעד לייענען:

Linux Crontab עקסאַקיוץ שריפט טאַסק קאַמאַנדז קעסיידער און שטעלט קאַנפיגיעריישאַן טעקע באַניץ

לינוקס ס געבויט-אין קרון פּראָצעס קענען העלפֿן אונדז טרעפן די באדערפענישן פון עקסאַקיוטינג סקעדזשולד טאַסקס.דורך ניצן קרון און שאָל סקריפּס, עס איז קיין פּראָבלעם אין קעסיידער עקסאַקיוטינג זייער קאָמפּלעקס אַרבעט קאַמאַנדז.וואָס איז Cron?וואָס מיר אָפט נוצן איז די crontab באַפֿעל, וואָס איז cron ta ...