证书3月一换很麻烦?一行命令让你解放双手

举报
一只牛博 发表于 2024/12/27 15:34:06 2024/12/27
【摘要】 证书3月一换很麻烦?一行命令让你解放双手 问题目前证书的大部分有效期都是3个月(免费),对于我们就需要每次在各大运营商平台进行重新申请,替换秘钥,虽然快到期的时候会提醒,但是还是很麻烦。 建议 如果你的nginx配置文件有多个,比如一个二级域名一个配置文件,我建议使用Certbot的手动模式,这样更好自己去管理 Certbot简介CertbotCertbot 是一个由 Electronic ...

证书3月一换很麻烦?一行命令让你解放双手

问题

目前证书的大部分有效期都是3个月(免费),对于我们就需要每次在各大运营商平台进行重新申请,替换秘钥,虽然快到期的时候会提醒,但是还是很麻烦。

建议

如果你的nginx配置文件有多个,比如一个二级域名一个配置文件,我建议使用Certbot的手动模式,这样更好自己去管理

Certbot简介

CertbotCertbot 是一个由 Electronic Frontier Foundation(电子前线基金会,简称 EFF)开发的开源工具,主要用于自动获取和更新 Let’s Encrypt 颁发的 SSL/TLS 证书。它能够帮助网站管理员轻松地为其网站配置 HTTPS,提供更安全的数据传输。

Certbot 的主要功能

  1. 自动化获取证书:Certbot 能够自动与 Let’s Encrypt 交互,验证域名所有权并获取 SSL/TLS 证书。
  2. 自动配置 HTTPS:Certbot 可以自动配置 Web 服务器(如 Apache、Nginx),使其使用新获得的证书提供 HTTPS 服务。
  3. 自动续期:Let’s Encrypt 证书的有效期为 90 天,Certbot 会自动在证书到期前更新它们,确保 HTTPS 服务的持续性。
  4. 支持多种操作系统和 Web 服务器:Certbot 支持多种操作系统(如 Ubuntu、Debian、CentOS 等)和多种 Web 服务器(如 Apache、Nginx)。

使用 Certbot 的基本步骤

  1. 安装 Certbot:根据操作系统和 Web 服务器的类型,使用包管理器或直接下载方式安装 Certbot。
  2. 获取证书:通过 Certbot 命令行工具,指定域名并获取 SSL/TLS 证书。
  3. 配置 Web 服务器:Certbot 可以自动配置 Web 服务器,也可以手动配置。
  4. 测试和验证:确保 Web 服务器正确启用了 HTTPS,并验证证书的有效性。
  5. 自动续期:Certbot 会定期运行并检查证书的有效期,自动续期证书。

适用场景

  • 个人或小型网站:不需要购买商业证书,使用 Let’s Encrypt 提供的免费证书即可。
  • 希望自动管理证书的用户:Certbot 自动化的流程可以节省手动管理证书的时间和精力。

总的来说,Certbot 是一个强大且易于使用的工具,能够帮助网站管理员轻松地为其网站配置和管理 SSL/TLS 证书,提高网站的安全性。

自动配置(可忽略)

在CentOS上使用Certbot为Nginx配置SSL证书并设置自动续签的步骤如下:

1. 安装Certbot

首先,确保系统已更新:

sudo yum update -y

然后,安装EPEL(Extra Packages for Enterprise Linux)存储库:

sudo yum install epel-release -y

接下来,安装Certbot和Nginx插件:

sudo yum install certbot python2-certbot-nginx -y

2. 获取SSL证书

使用Certbot获取SSL证书。这里假设你的域名是example.com,请替换成你的实际域名:

sudo certbot --nginx -d example.com -d www.example.com

在运行此命令时,Certbot会自动配置Nginx以使用生成的SSL证书。按照提示完成域名验证。

3. 验证Nginx配置

Certbot成功生成证书后,它会自动更新Nginx的配置文件。你可以通过以下命令测试Nginx配置是否正确:

sudo nginx -t

如果配置正确,重启Nginx以应用更改:

sudo systemctl restart nginx

4. 设置自动续签

Certbot安装时通常会创建一个定时任务(cron job)来自动续签证书。你可以通过以下命令查看已存在的续签任务:

systemctl list-timers | grep certbot

如果没有自动续签任务,可以手动创建一个:

sudo crontab -e

然后添加以下内容,每天早上3:30自动续签证书:

30 3 * * * /usr/bin/certbot renew --quiet --nginx

5. 测试自动续签

可以手动测试自动续签是否有效:

sudo certbot renew --dry-run

如果没有错误提示,则自动续签配置成功。

6. 检查和更新证书

Certbot会在证书到期前自动更新证书。你可以通过以下命令查看证书的状态:

sudo certbot certificates

7. 监控和维护

定期检查Nginx和Certbot的日志,以确保证书续签正常运行。如果发现问题,可以手动更新证书或调整自动续签脚本。

这样,CentOS系统上的Nginx服务器就可以使用Let’s Encrypt的免费SSL证书,并且能够自动续签,确保网站的安全性和连续性。

手动配置(重点)

前提:新建挑战文件目录,默认是在/var/www/html/

# 创建挑战文件目录
mkdir -p /var/www/html/.well-known/acme-challenge/
# 赋予权限
chmod -R 755 /var/www/html/.well-known

manual 方式(不推荐)

命令:sudo certbot certonly --manual -d me.acowbo.fun

  • 工作原理
    • 使用 --manual 方式时,Certbot 会要求你手动执行一些操作来验证域名所有权。
    • Certbot 会给出一个需要创建的文件名称和内容,你需要手动将这个文件放置到你的 Web 服务器上指定的位置,或者通过 DNS 方式添加 TXT 记录。
    • 在完成这些手动步骤后,Certbot 将继续进行验证,验证通过后你将获得证书。
  • 适用场景
    • 如果你没有直接访问服务器的权限,或者没有正在运行的 Web 服务器(例如静态网站托管在第三方平台上),--manual 方式可能会更适合。
    • 适合临时获取证书,或者当自动化的验证方式无法使用时。
sudo certbot certonly --manual -d me.acowbo.fun

会出现如下图所示:

到了这一步你不可以点击回车,要现在/var/www/html/.well-known/acme-challenge/目录下新建截图的文件,然后再输入截图中的内容,试一下可以访问吗。可以访问就回车

如果出现问题,请看最下面的问题解决

webroot 方式

命令:sudo certbot certonly --webroot -w /var/www/html -d me.acowbo.fun

  • 工作原理
    • 使用 --webroot 方式时,Certbot 会在指定的 -w 参数后面的路径(例如 /var/www/html)下创建一个 .well-known/acme-challenge/ 文件夹,并在其中放置一个临时文件。
    • Let’s Encrypt 服务器随后会访问 http://me.acowbo.fun/.well-known/acme-challenge/ 下的临时文件来验证域名的所有权。
    • 验证通过后,Certbot 将获得证书并保存到本地。
  • 适用场景
    • 如果你的服务器已经有一个正在运行的 Web 服务器(如 Apache 或 Nginx),并且你能够将 Web 服务器的根目录路径指定为 -w 参数,那么 --webroot 方式会更自动化且方便。
    • 适合已经部署好并能够直接访问的域名。

结果如下

显示已经成功,并且到期为2024-11-21

配置nginx并重启

ssl_certificate /etc/letsencrypt/live/me.acowbo.fun/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/me.acowbo.fun/privkey.pem;

访问网站如下结果

问题解决

问题一:nginx找不到

The nginx plugin is not working; there may be problems with your existing configuration.
The error was: NoInstallationError("Could not find a usable 'nginx' binary. Ensure nginx exists, the binary is executable, and your PATH is set correctly.",)

出现这个错误通常意味着Certbot未能找到Nginx的可执行文件。这可能是由于Nginx未正确安装、未在系统路径中,或者其他配置问题引起的。以下是一些可能的解决方案:

1. 确认Nginx已安装

2. 检查Nginx可执行文件路径

确认Nginx可执行文件存在且可执行。通常情况下,Nginx可执行文件应位于/usr/sbin/nginx/usr/local/nginx/sbin/nginx

你可以使用以下命令查找Nginx可执行文件:

which nginx

如果找不到Nginx的路径,可以尝试查找:

sudo find / -name nginx

3. 更新系统路径

如果Nginx已安装但Certbot找不到它,你可能需要更新系统路径。

编辑你的~/.bashrc~/.bash_profile文件,添加Nginx的路径,例如:

export PATH=$PATH:/usr/local/nginx/sbin

然后重新加载文件:

source ~/.bashrc

问题二:nginx配置文件找不到

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Error while running nginx -c /etc/nginx/nginx.conf -t.

nginx: [emerg] open() "/etc/nginx/nginx.conf" failed (2: No such file or directory)
nginx: configuration file /etc/nginx/nginx.conf test failed

The nginx plugin is not working; there may be problems with your existing configuration.
The error was: MisconfigurationError('Error while running nginx -c /etc/nginx/nginx.conf -t.\n\nnginx: [emerg] open() "/etc/nginx/nginx.conf" failed (2: No such file or directory)\nnginx: configuration file /etc/nginx/nginx.conf test failed\n',)

这里我建议你直接看手动续签部分

彩蛋之自动续签

这里你可以使用python或者说Linux自带的crontab,我这里只展示提供的脚本实现

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。