SSL证书有效期变更为三个月的自动化运维解决方案

最新推荐文章于 2024-09-09 19:03:25 发布
最新推荐文章于 2024-09-09 19:03:25 发布
阅读量730 收藏 10
点赞数 17
文章标签: 运维 ssl 自动化 ssl证书 三个月
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/astercass/article/details/140261631
版权

原文链接

欢迎大家对于本站的访问 - AsterCasc

前言

众所周周知,目前由于安全性的考量,各个平台供应商的SSL免费证书有效期都变成了三个月。在之前一年的证书有效期的条件下,如果有三五七个域名,一年更新一次,似乎也费不了什么功夫,但是如果是三个月更新一次,这个工作量就没有那么容易让人接受了,所以我这里需要有一个自动化的SSL证书更新方案

不想写服务的小伙伴也可以使用外部的解决方案,比如CertSvc,但是这种毕竟是别人的平台,在安全性方面肯定是没有自己写来的更好的,而且自定义的的逻辑也没有很多,这里我们以腾讯云为例,简单展示下证书自动运维方案

实现

概述

我们定时任务每天拉取证书列表,当检查到需要维护的证书马上过期时候,申请新的证书,然后安装到本地即可。这里可以附加上删除已吊销/过期证书以及对于快过期的证书的直接吊销的清理流程

接口

这里我们主要需要以下接口,小伙伴可以根据自己需求自行增减:

链接部分使用的是腾讯云的链接,其他服务器平台可以自行参考该平台接口文档,应该差别不大

申请证书

示例如下:


public List<TencentSslList.TencentSsl> getSslList() {  
    try {  
        //init  
        Credential cred = new Credential(secretId, secretKey);  
        SslClient client = new SslClient(cred, null);  
        //build  
        DescribeCertificatesRequest req = new DescribeCertificatesRequest();  
        req.setLimit(LIMIT_DATA_ROWS);  
        DescribeCertificatesResponse resp = client.DescribeCertificates(req);  
        //ret  
        TencentSslList list = JSONObject.parseObject(  
                DescribeCertificatesResponse.toJsonString(resp), TencentSslList.class);  
        return list.getCertificates();  
    } catch (TencentCloudSDKException exception) {  
        log.error("", exception);  
    }  
    return List.of();  
}

public List<String> needApplyDomain(Date date, List<TencentSslList.TencentSsl> sslList) {  
    Calendar calendar = Calendar.getInstance();  
    calendar.setTime(date);  
    calendar.add(Calendar.DAY_OF_MONTH, RENEW_SSL_DAYS);  
  
    List<String> list = sslList.stream()  
            .filter(ssl -> Objects.equals(TencentSslStatusEnum.AUDIT.getCode(), ssl.getStatus())  
                    || (calendar.getTime().before(ssl.getCertEndTime()) &&  
                    Objects.equals(TencentSslStatusEnum.PASS.getCode(), ssl.getStatus()))  
            )  
            .map(TencentSslList.TencentSsl::getDomain)  
            .toList();  
    List<String> needApplyDomain = new ArrayList<>(domainList);  
    needApplyDomain.removeIf(list::contains);  
    return needApplyDomain;  
}

public void applySsl(String domain) {  
    try {  
        Credential cred = new Credential(secretId, secretKey);  
        SslClient client = new SslClient(cred, null);  
        //build  
        ApplyCertificateRequest req = new ApplyCertificateRequest();  
        req.setDvAuthMethod(APPLY_SSL_METHOD);  
        req.setDomainName(domain);  
        ApplyCertificateResponse resp = client.ApplyCertificate(req);  
        if (null != resp && !ObjectUtils.isEmpty(resp.getCertificateId())) {  
            redisBiz.getStrInstance().opsForValue().set(  
                    SSL_APPLYING_PREFIX + domain, resp.getCertificateId(),  
                    SSL_APPLYING_WAIT_DAYS, TimeUnit.DAYS);  
        }  
    } catch (TencentCloudSDKException exception) {  
        log.error("", exception);  
    }  
}

@Scheduled(cron = "0 1 0 * * ?")  
public void doSomething() {  
	List<TencentSslList.TencentSsl> sslList = tencentSslBiz.getSslList();  
	List<String> toApplyList = tencentSslBiz.needApplyDomain(now, sslList);  
	for (String domain : toApplyList) {  
		tencentSslBiz.applySsl(domain);  
	}
}

其中domainList为希望维护的域名列表,可以使用热配置提供实时修改。在申请证书后将域名和证书唯一键记录到缓存当中

证书安装

使用容器的小伙伴需要注意在容器中进行映射,将安装目录映射到对应宿主机目录:

private static void saveBytesToFile(byte[] bytes, String filePath) throws IOException {  
    try (FileOutputStream fos = new FileOutputStream(filePath)) {  
        fos.write(bytes);  
    }  
}  
  
private static void unzip(String zipFilePath, String destDir) throws IOException {  
    File dir = new File(destDir);  
    if (!dir.exists()) {  
        boolean ignore = dir.mkdirs();  
    }  
    try (ZipFile ignored = new ZipFile(zipFilePath);  
         ZipInputStream zipIn = new ZipInputStream(Files.newInputStream(Paths.get(zipFilePath)))) {  
        ZipEntry entry = zipIn.getNextEntry();  
        while (entry != null) {  
            String filePath = destDir + File.separator + entry.getName();  
            if (!entry.isDirectory()) {  
                extractFile(zipIn, filePath);  
            } else {  
                File dirPath = new File(filePath);  
                boolean ignore = dirPath.mkdirs();  
            }  
            zipIn.closeEntry();  
            entry = zipIn.getNextEntry();  
        }  
    }  
}  
  
private static void extractFile(ZipInputStream zipIn, String filePath) throws IOException {  
    try (BufferedOutputStream bos = new BufferedOutputStream(new FileOutputStream(filePath))) {  
        byte[] bytesIn = new byte[4096];  
        int read;  
        while ((read = zipIn.read(bytesIn)) != -1) {  
            bos.write(bytesIn, 0, read);  
        }  
    }  
}  
  
private static boolean deleteFile(String filePath) {  
    File file = new File(filePath);  
    if (file.exists()) {  
        return file.delete();  
    }  
    return true;  
}

public void updateSslList(String certificateId, String domainKey) {  
    try {  
        Credential cred = new Credential(secretId, secretKey);  
        SslClient client = new SslClient(cred, null);  
        //build  
        DownloadCertificateRequest req = new DownloadCertificateRequest();  
        req.setCertificateId(certificateId);  
        DownloadCertificateResponse resp = client.DownloadCertificate(req);  
        //ret  
        if (!ObjectUtils.isEmpty(resp.getContent())) {  
            String base64Data = resp.getContent();  
            byte[] decodedBytes = Base64.getDecoder().decode(base64Data);  
            boolean ignore = deleteFile(sslPackageFullName);  
            saveBytesToFile(decodedBytes, sslPackageFullName);  
            unzip(sslPackageFullName, sslPath);  
            redisBiz.getStrInstance().delete(domainKey);  
        }  
    } catch (IOException | TencentCloudSDKException exception) {  
        log.error("", exception);  
    }  
}


public void installSsl() {  
    Set<String> domains = redisBiz.getStrInstance().keys(SSL_APPLYING_PREFIX + "*");  
    if (null == domains) return;  
    for (String domainKey : domains) {  
        updateSslList(redisBiz.getStrInstance().opsForValue().get(domainKey), domainKey);  
    }  
}

从缓存中读出证书唯一键,查询已经下发完成,当已经下发完成,安装证书并且删除缓存

证书吊销(可选)

当证书即将过期时,直接吊销证书,清理证书数据。注意,这里的吊销时间需要小于申请的时间,最好有个三五天的安全值,比如设置申请时间为到期14天内触发,那么吊销时间最好为到期7天内触发,否则可能会有一段时间的无有效证书:

public List<String> needRevokeCertificateId(Date date, List<TencentSslList.TencentSsl> sslList) {  
    Calendar calendar = Calendar.getInstance();  
    calendar.setTime(date);  
    calendar.add(Calendar.DAY_OF_MONTH, REVOKE_SSL_DAYS);  
    return sslList.stream()  
            .filter(ssl -> null != ssl.getCertEndTime() &&  
                    calendar.getTime().after(ssl.getCertEndTime()) &&  
                    Objects.equals(ssl.getStatus(), TencentSslStatusEnum.PASS.getCode()))  
            .map(TencentSslList.TencentSsl::getCertificateId)  
            .toList();  
}

public void revokeSsl(String certificateId) {  
    try {  
        Credential cred = new Credential(secretId, secretKey);  
        SslClient client = new SslClient(cred, null);  
        //build  
        RevokeCertificateRequest req = new RevokeCertificateRequest();  
        req.setCertificateId(certificateId);  
        RevokeCertificateResponse ignore = client.RevokeCertificate(req);  
    } catch (TencentCloudSDKException exception) {  
        log.error("", exception);  
    }  
}

@Scheduled(cron = "0 1 0 * * ?")  
public void doSomething() {  
	List<TencentSslList.TencentSsl> sslList = tencentSslBiz.getSslList();  
	List<String> toRevokeList = tencentSslBiz.needRevokeCertificateId(now, sslList);
	for (String certificateId : toRevokeList) {
		tencentSslBiz.revokeSsl(certificateId);
	}
}

删除证书(可选)

删除过期以及吊销证书:

public List<String> needDeleteCertificatedId(List<TencentSslList.TencentSsl> sslList) {  
    return sslList.stream()  
            .filter(ssl -> List.of(TencentSslStatusEnum.REVOKED.getCode(),  
                    TencentSslStatusEnum.EXPIRED.getCode()).contains(ssl.getStatus()))  
            .map(TencentSslList.TencentSsl::getCertificateId)  
            .toList();  
}

public void deleteSSl(String certificateId) {  
    try {  
        Credential cred = new Credential(secretId, secretKey);  
        SslClient client = new SslClient(cred, null);  
        //build  
        DeleteCertificateRequest req = new DeleteCertificateRequest();  
        req.setCertificateId(certificateId);  
        DeleteCertificateResponse ignore = client.DeleteCertificate(req);  
    } catch (TencentCloudSDKException exception) {  
        log.error("", exception);  
    }  
}

@Scheduled(cron = "0 1 0 * * ?")  
public void doSomething() {  
	List<TencentSslList.TencentSsl> sslList = tencentSslBiz.getSslList();  
	List<String> toDeleteList = tencentSslBiz.needDeleteCertificatedId(sslList);
	for (String certificateId : toDeleteList) {
		tencentSslBiz.deleteSSl(certificateId);
	}
}

反向代理

当安装完成后需要重启反向代理,重新加载证书文件,可以使用定时任务cron完成

原文链接

欢迎大家对于本站的访问 - AsterCasc

AsterCass
关注
Kubernetes K8S之SSL证书有效期修改
踏歌行的专栏
08-02 1331
如何修改Kubernetes的SSL证书有效期
Docker全方位攻略与自动化运维
dg313的博客
02-22 620
(Docker注册中心)是一个管理Docker容器镜像存储和交付的应用程序。注册中心集中容器镜像并减少开发人员的构建时间。Docker镜像通过虚拟化保证相同的运行环境,但是构建镜像需要大量的时间投入。例如,开发人员可以从包含所有必要组件的注册中心下载压缩镜像,而不是单独安装依赖项和包来使用Docker。Buddy自动将镜像推送到注册中心,以在生产和开发过程中无缝更新镜像。Docker Hub是一个免费公共的注册中心,可以托管您的自定义Docker镜像,但在某些情况下您不希望您的镜像公开使用。
免费SSL证书正在逐渐被淘汰,证书部署自动化的发展趋势即将到来!
最新发布
石宗昊的博客
09-09 1260
谷歌最新的提议将SSL证书有效期缩短为7天,,提议是否落实,就要看其他的browser是否同意了,目前还没有任何提交讨论的实际行动,但不排除,Chrome进行 “政策更新”,作为 Chrome 根程序的要求,来单方面强制执行此更改。而且,做浏览器的怎么会馋CA赚的钱,除了Mozilla,这家比较特殊以外,其他自己业务早就赚翻天了,做浏览器的都是大公司,不在意这点的,安全考量确实有必要。但实际上,CA/B的信息没有意义,因为整个SSL体系是由B来说了算的,CA说白了就是参与方,象征性的投票。
免费SSL证书续费延长有效期
goobyh的博客
08-16 517
免费证书0元续费
【一分钟】轻松搞定,SSL证书自动续签,解决阿里云SSL免费证书每3个失效问题
qq_34004242的博客
05-16 2891
介绍支持特点Stage 1:ssh登录阿里云 ECSStage 2:进入nginx (docker)容器Stage 3:执行如下指令Stage 3-1:更新 apt-getStage 3-2:安装 curlStage 3-3:登录httpsok官网获取部署指令Stage 3-4:在nginx容器中执行部署指令Stage 4:进入官网,查看nginx证书信息Stage 5:添加DNS解析Stage 5-1:httpsOk官网查看需要添加的DNS解析。
如何在阿里云申请免费SSL证书三个有效)
常备不懈
05-15 1382
SSL证书主要用于建立Web服务器和客户端间可信的HTTPS协议加密链接,以防止数据在传输过程中被篡改,避免信息泄露。阿里云提供了多种品牌和类型的SSL证书,以满足不同用户的需求。您可以根据自己的预算、域名类型以及网站类型,选择购买适合的SSL证书
阿里云免费证书改为3个,应对方法很简单_阿里云ssl证书只有3个
2401_83944328的博客
04-14 770
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
一分钟轻松搞定 SSL 证书自动续期,解决免费证书每 3 个失效问题
民工哥的博客
06-05 1860
httpsok 是一个专为 Nginx 和 OpenResty 服务器设计的 HTTPS 证书自动续签工具。稳定、安全、可靠。整个操作过程非常简单,方便,新手朋友也不用担心,都能轻松搞定。总结来说,httpsok 是一个功能强大且易于使用的 HTTPS 证书自动续签工具。通过简单的安装和配置,你可以轻松实现 Nginx 或 OpenResty 服务器上 SSL 证书的自动续签,确保网站的安全和稳定。公众号读者专属技术群构建高质量的技术交流社群,欢迎从事后端开发、运维技术进群(
阿里云免费证书改为3个,应对方法很简单_阿里云ssl证书只有3个(1)
2401_83944328的博客
04-14 940
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。http的话需要我们的域名已经配置解析到我们的服务器,一种是DNS,则需要服务商有提供API。不过解决的办法还是有的,那便是使用一个自动签发自动续期的脚本acme.sh,用了这个脚本之后,感觉比之前的方式更加简单方便了。
重要消息|2020年91日起, SSL证书最长有效期变更为1年
DNSPod
08-07 1342
从2020年91日开始,SSL证书最长有效期变更为398天(13个)。即2020年831日之后,可信CA将不再颁发2年期证书证书有效期再次缩短为1年。看到这个消息,D妹手里的证书...
Ansible运维
Ra_sh的博客
06-12 957
Ansible运维 第 1 章 Ansible 介绍及安装 1.1 介绍 Ansible 是一个 IT 自动化工具。它能配置系统、部署软件、编排更复杂的 IT 任务,如连续部署或零停机时间滚动更新。Ansible 用 Python 编写,尽管市面上已经有很多可供选择的配置管理解决方案(例如 Salt、Puppet、Chef等),但它们各有优劣,而Ansible的特点在于它的简洁。让 Ansible 在主流的配置管理系统中与众不同的一点便是,它并不需要你在想要配置的每个节点上安装自己的组件。同时提供的
【愚公系列】《AIGC辅助软件开发》011-AI辅助编写技术文档:技术文档
热门推荐
时光隧道
07-24 1万+
在当今快速发展的技术环境中,技术文档的编写变得愈加重要。无论是软件开发、产品设计,还是系统架构,清晰、准确的技术文档不仅能帮助团队成员快速理解项目,还能为用户提供必要的使用指导。然而,编写高质量的技术文档常常是一项繁琐且耗时的任务。随着人工智能技术的不断进步,AI工具的辅助作用逐渐显现,特别是在技术文档的编写过程中。借助AI,开发者和技术作家可以更高效地生成、编辑和维护文档,从而专注于更高层次的创作和思考。
运维面试题
wx25051的博客
04-10 8741
NETWORK 1 请描述 TCP/IP 协议中主机与主机之间通信的三要素 参考答案 IP 地址(IP address) 子网掩码(subnet mask) IP 路由(IP router) 2 请描述 IP 地址的分类及每一类的范围 参考答案 A 类 1-26 B 类 128-191 C 类 192-223 D 类 224-239 组播(多播) E 类 240-254 科研 3 请描述 A、B、...
自动更新网站SSL证书的方法记录
五角大寨
01-14 2943
Let’s Encrypt 是 一个叫 ISRG ( Internet Security Research Group ,互联网安全研究小组)的组织推出的免费安全证书计划。参与这个计划的组织和公司可以说是互联网顶顶重要的先驱,除了前文提到的三个牛气哄哄的发起单位外,后来又有思科(全球网络设备制造商执牛耳者)、 Akamai 加入,甚至连 Linux 基金会也加入了合作,这些大牌组织的加入保证了这个项目的可信度和可持续性。
SSL 证书自动更新, 过期自动提醒
又是再见?
10-27 1408
其实本文的标题应该叫做 "记 ssl 证书过期引发的血难" 1. 过期提醒, Certificate Expiry Monitor, 会在域名过期前的几个时间段自动邮件提醒, git 地址:https://github.com/byc233518/certificate-expiry-monitor 2. 自动更换,acme.sh, 能够自动检查并下载证书更新, git 地址:GitHub - byc233518/acme.sh: A pure...
阿里云免费证书改为3个,应对方法很简单
C7
03-14 1637
http的话需要我们的域名已经配置解析到我们的服务器,一种是DNS,则需要服务商有提供API。这样执行之后,每天凌晨如果检查到证书更新了,还会自动执行service nginx force-reload,这样的话,就可以无限制续期了。不过解决的办法还是有的,那便是使用一个自动签发自动续期的脚本acme.sh,用了这个脚本之后,感觉比之前的方式更加简单方便了。如果是一年期的话,还可以偷下懒,但是3个的话,运维成本就高了很多,对于小公司或者个人来说就麻烦很多了。情商低点的话,就是钱的问题。
自动更新免费的 Https SSL 证书
大漠知秋的加油站
11-23 729
Github 工具地址
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值