by Devin Yang

建立於: 7年前 ( 更新: 7年前 )

前言

let's encrypt提供免費的憑證真的很棒,不過,三個月要更新一次憑證是不是有點麻煩,
本文介紹,如何透過getssl,產生多域名的SAN憑證設定,放入排程自動進行憑證更新。
非常簡單哦,六個步驟即可搞定。

註:在下方的過程中,我使用非root的權限進行設定,如果你需要使用root才能重啟您的nginx主機,
請自行調整您安裝的使用者,或者是web server的重啟指令。

步驟

1. 透過git下載gessl,並且存成scripts。
git clone https://github.com/srvrco/getssl scripts

2.第一次使用,執行如下指令
cd scripts
./getssl -c ccc.tc

請將上方哉名ccc.tc換成您自己的域名
就會在您的家目錄,建立.getssl的資料夾及ccc.tc的目錄了
creating main config file /home/devin_yang/.getssl/getssl.cfg
Making domain directory - /home/devin_yang/.getssl/ccc.tc
creating domain config file in /home/devin_yang/.getssl/ccc.tc/getssl.cfg

3.用vim編輯設定,簡單拷貝第二步顯示的路徑即可。
vim /home/devin_yang/.getssl/ccc.tc/getssl.cfg

4.以下的getssl.cfg設定僅供參考,請依您自己實際的主機目錄及憑證資料夾,進行調整。
#選取發送憑證的主機
CA="https://acme-v01.api.letsencrypt.org"
#額外的域名
SANS="www.ccc.tc, devin.ccc.tc, mail.ccc.tc"

#設定ACME路徑,因為我是安裝在dlaravel的環境,ccc為我的project目錄。
#記得要在public下,建立該目錄.well-known/acme-challenge
ACL=('/home/devin_yang/dlaravel/sites/ccc/public/.well-known/acme-challenge')
USE_SINGLE_ACL="true"

#設定憑證路徑
CA_CERT_LOCATION="/home/devin_yang/dlaravel/etc/ssl/cert.crt"
DOMAIN_CHAIN_LOCATION="/home/devin_yang/dlaravel/etc/ssl/fullchain.pem"
DOMAIN_PEM_LOCATION="/home/devin_yang/dlaravel/etc/ssl/privkey.pem"
#D-Laravel的nginx重載指令
RELOAD_CMD="bash -c 'cd /home/devin_yang/dlaravel; ./console reload'"

#設定主機類型
​​​​​​​SERVER_TYPE="https"
關於RELOAD_CMD,如果您並非使用D-Laravel(docker-compose環境),
例如: nginx,重載方式在nginx應該是nginx -s reload,或在舊版CentOS或RedHat的Apache上,應該可以用service httpd graceful
關於主機部份的相關設定及說明就不在說明了,本文我假定讀者已設定好了let's encrypt的憑證在主機上,只是要完成自動更新功能。

5.手動更新憑證,並進行nginx主機重啟
cd ~/scripts
 ./getssl ccc.tc

6.使用crontab放入排程每明檢查,自動進行更新
15 5 * * * /home/devin_yang/scripts/getssl -u -a -q

補充:如果需強制更新憑證,我們可以用-f參數,例如我的SAN又補了新的域名
getssl -f ccc.tc

關於nginx上的憑證設定方式,可以參考我這篇:
如何設定nginx上的HTTPS,取得Qualys的SSL A+評分
 

Tags: dlaravel

Devin Yang

文章內容無法一一說明,如果您有什麼不了解處,歡迎提問哦:)

No Comment

Post your comment

需要登入才可留言!

類似的文章


dlaravel

D-Laravel特定服務重啟

一般情況下,我們使用./console restart重建並且執行contaiener。 有時,我們有多個服務,並不想要一次重啟所有的服務, 這時,可以使用./console restart [servce name]來重啟特定服務..

docker,dlaravel

D-Laravel 1.5.5變更說明

D-Laravel的fpm image在php 7.2.1以前是使用docker php官方的dockerfile重build的, 並且所以我可以指定了fpm的預設的owner是dlaravel,   --with-fpm-user=USER    Set the user for php-fpm to run as. (default: nobody)   --with-fpm-group=GRP    Set the group for php-fpm to run as.

dlaravel

D-Laravel上的.env.example檔說明

本文說明關於D-Laravel上的.env設定 MYSQL_ROOT_PASSWORD=secret LARAVEL_INSTALLER='container' DOCKER_SERVICES='docker-compose.yml service/redis.yml'