建立於: 7年前 ( 更新: 7年前 )
前言
let's encrypt提供免費的憑證真的很棒,不過,三個月要更新一次憑證是不是有點麻煩,本文介紹,如何透過getssl,產生多域名的SAN憑證設定,放入排程自動進行憑證更新。
非常簡單哦,六個步驟即可搞定。
註:在下方的過程中,我使用非root的權限進行設定,如果你需要使用root才能重啟您的nginx主機,
請自行調整您安裝的使用者,或者是web server的重啟指令。
步驟
1. 透過git下載gessl,並且存成scripts。git clone https://github.com/srvrco/getssl scripts
2.第一次使用,執行如下指令
cd scripts
./getssl -c ccc.tc
請將上方哉名ccc.tc換成您自己的域名。
就會在您的家目錄,建立.getssl的資料夾及ccc.tc的目錄了
creating main config file /home/devin_yang/.getssl/getssl.cfg
Making domain directory - /home/devin_yang/.getssl/ccc.tc
creating domain config file in /home/devin_yang/.getssl/ccc.tc/getssl.cfg
3.用vim編輯設定,簡單拷貝第二步顯示的路徑即可。
vim /home/devin_yang/.getssl/ccc.tc/getssl.cfg
4.以下的getssl.cfg設定僅供參考,請依您自己實際的主機目錄及憑證資料夾,進行調整。
#選取發送憑證的主機
CA="https://acme-v01.api.letsencrypt.org"
#額外的域名
SANS="www.ccc.tc, devin.ccc.tc, mail.ccc.tc"
#設定ACME路徑,因為我是安裝在dlaravel的環境,ccc為我的project目錄。
#記得要在public下,建立該目錄.well-known/acme-challenge
ACL=('/home/devin_yang/dlaravel/sites/ccc/public/.well-known/acme-challenge')
USE_SINGLE_ACL="true"
#設定憑證路徑
CA_CERT_LOCATION="/home/devin_yang/dlaravel/etc/ssl/cert.crt"
DOMAIN_CHAIN_LOCATION="/home/devin_yang/dlaravel/etc/ssl/fullchain.pem"
DOMAIN_PEM_LOCATION="/home/devin_yang/dlaravel/etc/ssl/privkey.pem"
#D-Laravel的nginx重載指令
RELOAD_CMD="bash -c 'cd /home/devin_yang/dlaravel; ./console reload'"
#設定主機類型
SERVER_TYPE="https"
關於RELOAD_CMD,如果您並非使用D-Laravel(docker-compose環境),例如: nginx,重載方式在nginx應該是
nginx -s reload
,或在舊版CentOS或RedHat的Apache上,應該可以用service httpd graceful
。關於主機部份的相關設定及說明就不在說明了,本文我假定讀者已設定好了let's encrypt的憑證在主機上,只是要完成自動更新功能。
5.手動更新憑證,並進行nginx主機重啟
cd ~/scripts
./getssl ccc.tc
6.使用crontab放入排程每明檢查,自動進行更新
15 5 * * * /home/devin_yang/scripts/getssl -u -a -q
補充:如果需強制更新憑證,我們可以用-f參數,例如我的SAN又補了新的域名
getssl -f ccc.tc
關於nginx上的憑證設定方式,可以參考我這篇:
如何設定nginx上的HTTPS,取得Qualys的SSL A+評分
No Comment
Post your comment