证书3月一换很麻烦?一行命令让你解放双手
证书3月一换很麻烦?一行命令让你解放双手
问题
目前证书的大部分有效期都是3个月(免费),对于我们就需要每次在各大运营商平台进行重新申请,替换秘钥,虽然快到期的时候会提醒,但是还是很麻烦。
建议
如果你的nginx配置文件有多个,比如一个二级域名一个配置文件,我建议使用Certbot的手动模式,这样更好自己去管理
Certbot简介
CertbotCertbot 是一个由 Electronic Frontier Foundation(电子前线基金会,简称 EFF)开发的开源工具,主要用于自动获取和更新 Let’s Encrypt 颁发的 SSL/TLS 证书。它能够帮助网站管理员轻松地为其网站配置 HTTPS,提供更安全的数据传输。
Certbot 的主要功能
- 自动化获取证书:Certbot 能够自动与 Let’s Encrypt 交互,验证域名所有权并获取 SSL/TLS 证书。
- 自动配置 HTTPS:Certbot 可以自动配置 Web 服务器(如 Apache、Nginx),使其使用新获得的证书提供 HTTPS 服务。
- 自动续期:Let’s Encrypt 证书的有效期为 90 天,Certbot 会自动在证书到期前更新它们,确保 HTTPS 服务的持续性。
- 支持多种操作系统和 Web 服务器:Certbot 支持多种操作系统(如 Ubuntu、Debian、CentOS 等)和多种 Web 服务器(如 Apache、Nginx)。
使用 Certbot 的基本步骤
- 安装 Certbot:根据操作系统和 Web 服务器的类型,使用包管理器或直接下载方式安装 Certbot。
- 获取证书:通过 Certbot 命令行工具,指定域名并获取 SSL/TLS 证书。
- 配置 Web 服务器:Certbot 可以自动配置 Web 服务器,也可以手动配置。
- 测试和验证:确保 Web 服务器正确启用了 HTTPS,并验证证书的有效性。
- 自动续期:Certbot 会定期运行并检查证书的有效期,自动续期证书。
适用场景
- 个人或小型网站:不需要购买商业证书,使用 Let’s Encrypt 提供的免费证书即可。
- 希望自动管理证书的用户:Certbot 自动化的流程可以节省手动管理证书的时间和精力。
总的来说,Certbot 是一个强大且易于使用的工具,能够帮助网站管理员轻松地为其网站配置和管理 SSL/TLS 证书,提高网站的安全性。
自动配置(可忽略)
在CentOS上使用Certbot为Nginx配置SSL证书并设置自动续签的步骤如下:
1. 安装Certbot
首先,确保系统已更新:
sudo yum update -y
然后,安装EPEL(Extra Packages for Enterprise Linux)存储库:
sudo yum install epel-release -y
接下来,安装Certbot和Nginx插件:
sudo yum install certbot python2-certbot-nginx -y
2. 获取SSL证书
使用Certbot获取SSL证书。这里假设你的域名是example.com
,请替换成你的实际域名:
sudo certbot --nginx -d example.com -d www.example.com
在运行此命令时,Certbot会自动配置Nginx以使用生成的SSL证书。按照提示完成域名验证。
3. 验证Nginx配置
Certbot成功生成证书后,它会自动更新Nginx的配置文件。你可以通过以下命令测试Nginx配置是否正确:
sudo nginx -t
如果配置正确,重启Nginx以应用更改:
sudo systemctl restart nginx
4. 设置自动续签
Certbot安装时通常会创建一个定时任务(cron job)来自动续签证书。你可以通过以下命令查看已存在的续签任务:
systemctl list-timers | grep certbot
如果没有自动续签任务,可以手动创建一个:
sudo crontab -e
然后添加以下内容,每天早上3:30自动续签证书:
30 3 * * * /usr/bin/certbot renew --quiet --nginx
5. 测试自动续签
可以手动测试自动续签是否有效:
sudo certbot renew --dry-run
如果没有错误提示,则自动续签配置成功。
6. 检查和更新证书
Certbot会在证书到期前自动更新证书。你可以通过以下命令查看证书的状态:
sudo certbot certificates
7. 监控和维护
定期检查Nginx和Certbot的日志,以确保证书续签正常运行。如果发现问题,可以手动更新证书或调整自动续签脚本。
这样,CentOS系统上的Nginx服务器就可以使用Let’s Encrypt的免费SSL证书,并且能够自动续签,确保网站的安全性和连续性。
手动配置(重点)
前提:新建挑战文件目录,默认是在/var/www/html/
# 创建挑战文件目录
mkdir -p /var/www/html/.well-known/acme-challenge/
# 赋予权限
chmod -R 755 /var/www/html/.well-known
manual 方式(不推荐)
命令:sudo certbot certonly --manual -d me.acowbo.fun
- 工作原理:
- 使用
--manual
方式时,Certbot 会要求你手动执行一些操作来验证域名所有权。 - Certbot 会给出一个需要创建的文件名称和内容,你需要手动将这个文件放置到你的 Web 服务器上指定的位置,或者通过 DNS 方式添加 TXT 记录。
- 在完成这些手动步骤后,Certbot 将继续进行验证,验证通过后你将获得证书。
- 使用
- 适用场景:
- 如果你没有直接访问服务器的权限,或者没有正在运行的 Web 服务器(例如静态网站托管在第三方平台上),
--manual
方式可能会更适合。 - 适合临时获取证书,或者当自动化的验证方式无法使用时。
- 如果你没有直接访问服务器的权限,或者没有正在运行的 Web 服务器(例如静态网站托管在第三方平台上),
sudo certbot certonly --manual -d me.acowbo.fun
会出现如下图所示:
到了这一步你不可以点击回车,要现在
/var/www/html/.well-known/acme-challenge/
目录下新建截图的文件,然后再输入截图中的内容,试一下可以访问吗。可以访问就回车
如果出现问题,请看最下面的问题解决
webroot 方式
命令:sudo certbot certonly --webroot -w /var/www/html -d me.acowbo.fun
- 工作原理:
- 使用
--webroot
方式时,Certbot 会在指定的-w
参数后面的路径(例如/var/www/html
)下创建一个.well-known/acme-challenge/
文件夹,并在其中放置一个临时文件。 - Let’s Encrypt 服务器随后会访问
http://me.acowbo.fun/.well-known/acme-challenge/
下的临时文件来验证域名的所有权。 - 验证通过后,Certbot 将获得证书并保存到本地。
- 使用
- 适用场景:
- 如果你的服务器已经有一个正在运行的 Web 服务器(如 Apache 或 Nginx),并且你能够将 Web 服务器的根目录路径指定为
-w
参数,那么--webroot
方式会更自动化且方便。 - 适合已经部署好并能够直接访问的域名。
- 如果你的服务器已经有一个正在运行的 Web 服务器(如 Apache 或 Nginx),并且你能够将 Web 服务器的根目录路径指定为
结果如下
显示已经成功,并且到期为2024-11-21
配置nginx并重启
ssl_certificate /etc/letsencrypt/live/me.acowbo.fun/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/me.acowbo.fun/privkey.pem;
访问网站如下结果
问题解决
问题一:nginx找不到
The nginx plugin is not working; there may be problems with your existing configuration.
The error was: NoInstallationError("Could not find a usable 'nginx' binary. Ensure nginx exists, the binary is executable, and your PATH is set correctly.",)
出现这个错误通常意味着Certbot未能找到Nginx的可执行文件。这可能是由于Nginx未正确安装、未在系统路径中,或者其他配置问题引起的。以下是一些可能的解决方案:
1. 确认Nginx已安装
2. 检查Nginx可执行文件路径
确认Nginx可执行文件存在且可执行。通常情况下,Nginx可执行文件应位于/usr/sbin/nginx
或/usr/local/nginx/sbin/nginx
。
你可以使用以下命令查找Nginx可执行文件:
which nginx
如果找不到Nginx的路径,可以尝试查找:
sudo find / -name nginx
3. 更新系统路径
如果Nginx已安装但Certbot找不到它,你可能需要更新系统路径。
编辑你的~/.bashrc
或~/.bash_profile
文件,添加Nginx的路径,例如:
export PATH=$PATH:/usr/local/nginx/sbin
然后重新加载文件:
source ~/.bashrc
问题二:nginx配置文件找不到
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Error while running nginx -c /etc/nginx/nginx.conf -t.
nginx: [emerg] open() "/etc/nginx/nginx.conf" failed (2: No such file or directory)
nginx: configuration file /etc/nginx/nginx.conf test failed
The nginx plugin is not working; there may be problems with your existing configuration.
The error was: MisconfigurationError('Error while running nginx -c /etc/nginx/nginx.conf -t.\n\nnginx: [emerg] open() "/etc/nginx/nginx.conf" failed (2: No such file or directory)\nnginx: configuration file /etc/nginx/nginx.conf test failed\n',)
这里我建议你直接看手动续签部分
彩蛋之自动续签
这里你可以使用python或者说Linux自带的
crontab
,我这里只展示提供的脚本实现
- 点赞
- 收藏
- 关注作者
评论(0)