一日一技 | 一篇教你搞定 SSL 证书监控和续签 - 少数派
博主id提炼
苏苏的信息渠道
今日份状态
Created
Apr 17, 2024 06:54 AM
URL
https://sspai.com/post/88127
渠道
网站:少数派
标签
玩机技巧
描述
经过仔细阅读提供的文档内容,以下是我为您精心准备的详尽笔记:
### SSL 证书监控和续签指南
#### 背景信息
- 数字证书颁发机构 Gworg(光网)宣布,自 2023 年 12 月 31 日起,将停止签发为期一年的「TRUSTASIA」单域名 SSL 证书,这将影响依赖此证书的网站,特别是国内使用阿里云等服务商的网站。
- 免费证书的停发意味着网站需要每 3 个月进行一次续期,增加了管理多个域名或子域的难度。
#### Certbot 自动续签
- **Certbot** 是一个用于自动获取并续签 Let's Encrypt 提供的 SSL/TLS 证书的免费开源应用。
- Certbot 支持泛域名证书,一次性申请即可覆盖所有子域名。
- 自动续签功能在国内可能受限,可使用 Nginx Proxy Manager 作为反向代理工具来实现。
##### 具体步骤
1. **安装 Certbot 和插件**:
- 安装 Certbot。
- 安装 certbot-dns-aliyun 插件,以便自动配置 DNS 记录进行域名验证。
2. **配置 AccessKey 凭证**:
- 在阿里云控制台创建 AccessKey 密钥。
- 保存凭证并设置安全权限。
- 编辑配置文件 `/etc/letsencrypt/aliyun.ini` 输入 AccessKey 信息。
3. **使用 DNS 插件获取证书**:
- 运行 Certbot 并指定 DNS 插件及配置文件。
- 使用 `-d` 参数指定域名,如 `*.newzone.top`。
4. **自动续签证书**:
- Certbot 默认设置自动续签。
- 通过测试命令确认续签成功。
- 续签会在证书有效期少于 30 天时自动进行。
#### CDN 手动续签
- 对于使用图床或 CDN 服务的用户,证书可能需要手动续签。
- 定位 Certbot 生成的泛域名证书文件。
- 在 CDN 管理界面上传新的证书文件以替换旧证书。
#### SSL 证书监测
- 使用 Uptime Kuma 监控 SSL 证书状态。
- 添加监控项目并选择「HTTP(s)」类型。
- 启用「证书到期时通知」。
- Uptime Kuma 会在证书剩余有效期少于 21 天、14 天、7 天时发送提醒通知。
#### 个人见解
- 国内云服务商提高 SSL 证书费用和增加续签难度,可能是为了鼓励用户购买付费证书。
- 这种做法可能未充分考虑国内用户的付费习惯,对于个人用户来说,SSL 证书开销超过服务器费用难以接受。
#### 总结
本文详细介绍了 SSL 证书的自动续签和监控方法,以及手动续签 CDN 证书的步骤。通过使用 Certbot 和 Uptime Kuma,用户可以有效管理 SSL 证书,确保网站的安全访问。同时,文章也反映了国内云服务商在 SSL 证书定价策略上可能存在的问题,对个人用户的影响尤为显著。
以上笔记基于文档内容整理,旨在帮助您更好地理解和应用 SSL 证书的监控和续签方法。
2024年月总结
Checkbox
Checkbox
Last Edited time
Last updated April 17, 2024
优先级
🌕🌕
归档
状态
已读
阅读时间
Apr 17, 2024
项目合集
🔭 学习系统-主题学习