证书3月一换很麻烦?一行命令让你解放双手

2024-08-26 22:44

本文主要是介绍证书3月一换很麻烦?一行命令让你解放双手,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

证书3月一换很麻烦?一行命令让你解放双手

问题

目前证书的大部分有效期都是3个月(免费),对于我们就需要每次在各大运营商平台进行重新申请,替换秘钥,虽然快到期的时候会提醒,但是还是很麻烦。

建议

如果你的nginx配置文件有多个,比如一个二级域名一个配置文件,我建议使用Certbot的手动模式,这样更好自己去管理

Certbot简介

CertbotCertbot 是一个由 Electronic Frontier Foundation(电子前线基金会,简称 EFF)开发的开源工具,主要用于自动获取和更新 Let’s Encrypt 颁发的 SSL/TLS 证书。它能够帮助网站管理员轻松地为其网站配置 HTTPS,提供更安全的数据传输。

Certbot 的主要功能

  1. 自动化获取证书:Certbot 能够自动与 Let’s Encrypt 交互,验证域名所有权并获取 SSL/TLS 证书。
  2. 自动配置 HTTPS:Certbot 可以自动配置 Web 服务器(如 Apache、Nginx),使其使用新获得的证书提供 HTTPS 服务。
  3. 自动续期:Let’s Encrypt 证书的有效期为 90 天,Certbot 会自动在证书到期前更新它们,确保 HTTPS 服务的持续性。
  4. 支持多种操作系统和 Web 服务器:Certbot 支持多种操作系统(如 Ubuntu、Debian、CentOS 等)和多种 Web 服务器(如 Apache、Nginx)。

使用 Certbot 的基本步骤

  1. 安装 Certbot:根据操作系统和 Web 服务器的类型,使用包管理器或直接下载方式安装 Certbot。
  2. 获取证书:通过 Certbot 命令行工具,指定域名并获取 SSL/TLS 证书。
  3. 配置 Web 服务器:Certbot 可以自动配置 Web 服务器,也可以手动配置。
  4. 测试和验证:确保 Web 服务器正确启用了 HTTPS,并验证证书的有效性。
  5. 自动续期:Certbot 会定期运行并检查证书的有效期,自动续期证书。

适用场景

  • 个人或小型网站:不需要购买商业证书,使用 Let’s Encrypt 提供的免费证书即可。
  • 希望自动管理证书的用户:Certbot 自动化的流程可以节省手动管理证书的时间和精力。

总的来说,Certbot 是一个强大且易于使用的工具,能够帮助网站管理员轻松地为其网站配置和管理 SSL/TLS 证书,提高网站的安全性。

自动配置(可忽略)

在CentOS上使用Certbot为Nginx配置SSL证书并设置自动续签的步骤如下:

1. 安装Certbot

首先,确保系统已更新:

sudo yum update -y

然后,安装EPEL(Extra Packages for Enterprise Linux)存储库:

sudo yum install epel-release -y

接下来,安装Certbot和Nginx插件:

sudo yum install certbot python2-certbot-nginx -y

2. 获取SSL证书

使用Certbot获取SSL证书。这里假设你的域名是example.com,请替换成你的实际域名:

sudo certbot --nginx -d example.com -d www.example.com

在运行此命令时,Certbot会自动配置Nginx以使用生成的SSL证书。按照提示完成域名验证。

3. 验证Nginx配置

Certbot成功生成证书后,它会自动更新Nginx的配置文件。你可以通过以下命令测试Nginx配置是否正确:

sudo nginx -t

如果配置正确,重启Nginx以应用更改:

sudo systemctl restart nginx

4. 设置自动续签

Certbot安装时通常会创建一个定时任务(cron job)来自动续签证书。你可以通过以下命令查看已存在的续签任务:

systemctl list-timers | grep certbot

如果没有自动续签任务,可以手动创建一个:

sudo crontab -e

然后添加以下内容,每天早上3:30自动续签证书:

30 3 * * * /usr/bin/certbot renew --quiet --nginx

5. 测试自动续签

可以手动测试自动续签是否有效:

sudo certbot renew --dry-run

如果没有错误提示,则自动续签配置成功。

6. 检查和更新证书

Certbot会在证书到期前自动更新证书。你可以通过以下命令查看证书的状态:

sudo certbot certificates

7. 监控和维护

定期检查Nginx和Certbot的日志,以确保证书续签正常运行。如果发现问题,可以手动更新证书或调整自动续签脚本。

这样,CentOS系统上的Nginx服务器就可以使用Let’s Encrypt的免费SSL证书,并且能够自动续签,确保网站的安全性和连续性。

手动配置(重点)

前提:新建挑战文件目录,默认是在/var/www/html/

# 创建挑战文件目录
mkdir -p /var/www/html/.well-known/acme-challenge/
# 赋予权限
chmod -R 755 /var/www/html/.well-known

manual 方式(不推荐)

命令:sudo certbot certonly --manual -d me.acowbo.fun

  • 工作原理
    • 使用 --manual 方式时,Certbot 会要求你手动执行一些操作来验证域名所有权。
    • Certbot 会给出一个需要创建的文件名称和内容,你需要手动将这个文件放置到你的 Web 服务器上指定的位置,或者通过 DNS 方式添加 TXT 记录。
    • 在完成这些手动步骤后,Certbot 将继续进行验证,验证通过后你将获得证书。
  • 适用场景
    • 如果你没有直接访问服务器的权限,或者没有正在运行的 Web 服务器(例如静态网站托管在第三方平台上),--manual 方式可能会更适合。
    • 适合临时获取证书,或者当自动化的验证方式无法使用时。
sudo certbot certonly --manual -d me.acowbo.fun

会出现如下图所示:

在这里插入图片描述

到了这一步你不可以点击回车,要现在/var/www/html/.well-known/acme-challenge/目录下新建截图的文件,然后再输入截图中的内容,试一下可以访问吗。可以访问就回车

如果出现问题,请看最下面的问题解决

webroot 方式

命令:sudo certbot certonly --webroot -w /var/www/html -d me.acowbo.fun

  • 工作原理
    • 使用 --webroot 方式时,Certbot 会在指定的 -w 参数后面的路径(例如 /var/www/html)下创建一个 .well-known/acme-challenge/ 文件夹,并在其中放置一个临时文件。
    • Let’s Encrypt 服务器随后会访问 http://me.acowbo.fun/.well-known/acme-challenge/ 下的临时文件来验证域名的所有权。
    • 验证通过后,Certbot 将获得证书并保存到本地。
  • 适用场景
    • 如果你的服务器已经有一个正在运行的 Web 服务器(如 Apache 或 Nginx),并且你能够将 Web 服务器的根目录路径指定为 -w 参数,那么 --webroot 方式会更自动化且方便。
    • 适合已经部署好并能够直接访问的域名。

结果如下

在这里插入图片描述

显示已经成功,并且到期为2024-11-21

配置nginx并重启

ssl_certificate /etc/letsencrypt/live/me.acowbo.fun/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/me.acowbo.fun/privkey.pem;

访问网站如下结果

在这里插入图片描述

问题解决

问题一:nginx找不到

The nginx plugin is not working; there may be problems with your existing configuration.
The error was: NoInstallationError("Could not find a usable 'nginx' binary. Ensure nginx exists, the binary is executable, and your PATH is set correctly.",)

出现这个错误通常意味着Certbot未能找到Nginx的可执行文件。这可能是由于Nginx未正确安装、未在系统路径中,或者其他配置问题引起的。以下是一些可能的解决方案:

1. 确认Nginx已安装

2. 检查Nginx可执行文件路径

确认Nginx可执行文件存在且可执行。通常情况下,Nginx可执行文件应位于/usr/sbin/nginx/usr/local/nginx/sbin/nginx

你可以使用以下命令查找Nginx可执行文件:

which nginx

如果找不到Nginx的路径,可以尝试查找:

sudo find / -name nginx

3. 更新系统路径

如果Nginx已安装但Certbot找不到它,你可能需要更新系统路径。

编辑你的~/.bashrc~/.bash_profile文件,添加Nginx的路径,例如:

export PATH=$PATH:/usr/local/nginx/sbin

然后重新加载文件:

source ~/.bashrc

问题二:nginx配置文件找不到

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Error while running nginx -c /etc/nginx/nginx.conf -t.nginx: [emerg] open() "/etc/nginx/nginx.conf" failed (2: No such file or directory)
nginx: configuration file /etc/nginx/nginx.conf test failedThe nginx plugin is not working; there may be problems with your existing configuration.
The error was: MisconfigurationError('Error while running nginx -c /etc/nginx/nginx.conf -t.\n\nnginx: [emerg] open() "/etc/nginx/nginx.conf" failed (2: No such file or directory)\nnginx: configuration file /etc/nginx/nginx.conf test failed\n',)

这里我建议你直接看手动续签部分

彩蛋之自动续签

这里你可以使用python或者说Linux自带的crontab,我这里只展示提供的脚本实现

在这里插入图片描述

如有需要可以关注下方公众号回复自动续签获取

ezgif-7-34ee1b78c3

这篇关于证书3月一换很麻烦?一行命令让你解放双手的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1109893

相关文章

Linux find 命令完全指南及核心用法

《Linuxfind命令完全指南及核心用法》find是Linux系统最强大的文件搜索工具,支持嵌套遍历、条件筛选、执行动作,下面给大家介绍Linuxfind命令完全指南,感兴趣的朋友一起看看吧... 目录一、基础搜索模式1. 按文件名搜索(精确/模糊匹配)2. 排除指定目录/文件二、根据文件类型筛选三、时间

Python如何获取域名的SSL证书信息和到期时间

《Python如何获取域名的SSL证书信息和到期时间》在当今互联网时代,SSL证书的重要性不言而喻,它不仅为用户提供了安全的连接,还能提高网站的搜索引擎排名,那我们怎么才能通过Python获取域名的S... 目录了解SSL证书的基本概念使用python库来抓取SSL证书信息安装必要的库编写获取SSL证书信息

使用mvn deploy命令上传jar包的实现

《使用mvndeploy命令上传jar包的实现》本文介绍了使用mvndeploy:deploy-file命令将本地仓库中的JAR包重新发布到Maven私服,文中通过示例代码介绍的非常详细,对大家的学... 目录一、背景二、环境三、配置nexus上传账号四、执行deploy命令上传包1. 首先需要把本地仓中要

Windows命令之tasklist命令用法详解(Windows查看进程)

《Windows命令之tasklist命令用法详解(Windows查看进程)》tasklist命令显示本地计算机或远程计算机上当前正在运行的进程列表,命令结合筛选器一起使用,可以按照我们的需求进行过滤... 目录命令帮助1、基本使用2、执行原理2.1、tasklist命令无法使用3、筛选器3.1、根据PID

Linux系统之authconfig命令的使用解读

《Linux系统之authconfig命令的使用解读》authconfig是一个用于配置Linux系统身份验证和账户管理设置的命令行工具,主要用于RedHat系列的Linux发行版,它提供了一系列选项... 目录linux authconfig命令的使用基本语法常用选项示例总结Linux authconfi

nginx生成自签名SSL证书配置HTTPS的实现

《nginx生成自签名SSL证书配置HTTPS的实现》本文主要介绍在Nginx中生成自签名SSL证书并配置HTTPS,包括安装Nginx、创建证书、配置证书以及测试访问,具有一定的参考价值,感兴趣的可... 目录一、安装nginx二、创建证书三、配置证书并验证四、测试一、安装nginxnginx必须有"-

linux打包解压命令方式

《linux打包解压命令方式》文章介绍了Linux系统中常用的打包和解压命令,包括tar和zip,使用tar命令可以创建和解压tar格式的归档文件,使用zip命令可以创建和解压zip格式的压缩文件,每... 目录Lijavascriptnux 打包和解压命令打包命令解压命令总结linux 打包和解压命令打

Redis的Zset类型及相关命令详细讲解

《Redis的Zset类型及相关命令详细讲解》:本文主要介绍Redis的Zset类型及相关命令的相关资料,有序集合Zset是一种Redis数据结构,它类似于集合Set,但每个元素都有一个关联的分数... 目录Zset简介ZADDZCARDZCOUNTZRANGEZREVRANGEZRANGEBYSCOREZ

Linux使用dd命令来复制和转换数据的操作方法

《Linux使用dd命令来复制和转换数据的操作方法》Linux中的dd命令是一个功能强大的数据复制和转换实用程序,它以较低级别运行,通常用于创建可启动的USB驱动器、克隆磁盘和生成随机数据等任务,本文... 目录简介功能和能力语法常用选项示例用法基础用法创建可启动www.chinasem.cn的 USB 驱动

关于Maven生命周期相关命令演示

《关于Maven生命周期相关命令演示》Maven的生命周期分为Clean、Default和Site三个主要阶段,每个阶段包含多个关键步骤,如清理、编译、测试、打包等,通过执行相应的Maven命令,可以... 目录1. Maven 生命周期概述1.1 Clean Lifecycle1.2 Default Li