letsencrypt证书自动续期问题

最新推荐文章于 2024-03-10 12:32:08 发布
最新推荐文章于 2024-03-10 12:32:08 发布
阅读量2w 收藏 6
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gsls200808/article/details/53486078
版权

官方建议一天两次

0 */12 * * * certbot renew --quiet --renew-hook "/etc/init.d/nginx reload"

官方原话
Note:
if you're setting up a cron or systemd job, we recommend running it twice per day (it won't do anything until your certificates are due for renewal or revoked, but running it regularly would give your site a chance of staying online in case a Let's Encrypt-initiated revocation happened for some reason). Please select a random minute within the hour for your renewal tasks.

为什么不是90天或者5天,因为哪天重启服务器,这个crontab就会向后又延长90天导致失效
--renew-hook这个选项在证书续期成功的时候会重新载入nginx配置,如果不加就需要手动载入或者手动重启nginx,不然的话虽然续期成功了nginx没加进来也会提示过期


最新发现设置成5天是可以的,通过查看日志文件/var/log/letsencrypt发现,续期命令检测到续期时间小于30天时,会重新请求生成新证书,部分日志文件如下

2017-02-04 04:30:02,138:DEBUG:certbot.main:Root logging level set at 30
2017-02-04 04:30:02,138:INFO:certbot.main:Saving debug log to /var/log/letsencrypt/letsencrypt.log
2017-02-04 04:30:02,138:DEBUG:certbot.main:certbot version: 0.9.3
2017-02-04 04:30:02,138:DEBUG:certbot.main:Arguments: ['--quiet', '--renew-hook', '/etc/init.d/nginx reload']
2017-02-04 04:30:02,138:DEBUG:certbot.main:Discovered plugins: PluginsRegistry(PluginEntryPoint#webroot,PluginEntryPoint#null,PluginEntryPoint#manual,PluginEntryPoint#standalone)
2017-02-04 04:30:02,150:DEBUG:certbot.storage:Should renew, less than 30 days before certificate expiry 2017-03-06 04:03:00 UTC.
2017-02-04 04:30:02,150:INFO:certbot.renewal:Cert is due for renewal, auto-renewing...
2017-02-04 04:30:02,153:DEBUG:certbot.plugins.selection:Requested authenticator webroot and installer None
2017-02-04 04:30:02,154:DEBUG:certbot.plugins.selection:Single candidate plugin: * webroot
Description: Place files in webroot directory
Interfaces: IAuthenticator, IPlugin
Entry point: webroot = certbot.plugins.webroot:Authenticator
Initialized: <certbot.plugins.webroot.Authenticator object at 0x1fe8c50>
Prep: True



很多人会遇到的一个问题,crontab是不是执行的问题
建议搞个1分钟打印时间的放crontab里,这是个人感觉最有效的方法 
*/1 * * * * echo "$(date)" >>/var/log/datecron.txt

查看 
cat /var/log/datecron.txt


crontab 相关命令 
cat /var/log/cron #查看crontab日志
crontab -l #查看crontab列表
crontab -e #编辑crontab列表
systemctl status crond.service #查看crontab服务状态
systemctl restart crond.service #重启crontab

certbot renew --quiet和certbot renew区别
前一个命令不输出内容到控制台和生成日志,后一个会输出内容到控制台和生成日志
日志文件在/var/log/letsencrypt/letsencrypt.log
如果证书没有过期,那么证书不会更新
没有过期执行更新命令控制台内容如下 
[root@centos7 ~]# certbot renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log


-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/www.vvvtimes.com.conf
-------------------------------------------------------------------------------
Cert not yet due for renewal


The following certs are not due for renewal yet:
  /etc/letsencrypt/live/www.vvvtimes.com/fullchain.pem (skipped)
No renewals were attempted.

日志内容如下 
[root@centos7 ~]# cat /var/log/letsencrypt/letsencrypt.log
2016-12-06 00:18:48,448:DEBUG:certbot.main:Root logging level set at 20
2016-12-06 00:18:48,449:INFO:certbot.main:Saving debug log to /var/log/letsencrypt/letsencrypt.log
2016-12-06 00:18:48,449:DEBUG:certbot.main:certbot version: 0.9.3
2016-12-06 00:18:48,449:DEBUG:certbot.main:Arguments: []
2016-12-06 00:18:48,449:DEBUG:certbot.main:Discovered plugins: PluginsRegistry(PluginEntryPoint#webroot,PluginEntryPoint#null,PluginEntryPoint#manual,PluginEntryPoint#standalone)
2016-12-06 00:18:48,461:INFO:certbot.renewal:Cert not yet due for renewal
2016-12-06 00:18:48,461:DEBUG:certbot.renewal:no renewal failures

这个日志不是追加的,而是每条命令生成一个,上面的时间是UTC时间


为了能更快的看到效果使用吊销命令试一下( 不用试了,没有用


吊销和安装(这两个命令说明文档太少,不确定下面的命令是否能用) 
certbot revoke --cert-path cert.pem
certbot install --key-path privkey.pem --cert-path cert.pem

注意:吊销和安装命令是一对,和续期命令renew没有关系,renew只判断pem的有效期范围,超过范围才会去请求新的证书。官方文档中说吊销和过期使用renew命令都会生成证书,但实际上吊销后使用renew命令并不能生成新的证书 


certbot renew --renew-hook "/etc/init.d/nginx reload"
发现吊销之后的原来的证书还能用。。。这算什么吊销。。。


/etc/letsencrypt/live/www.vvvtimes.com/这里有4个pem 
cert.pem #公钥
privkey.pem #私钥
chain.pem #中间证书链
fullchain.pem #全证书链

/etc/letsencrypt/live/www.vvvtimes.com/ 这里的pem实际指向 /etc/letsencrypt/archive/www.vvvtimes.com/的pem


把4个pem全吊销了,install和renew都不行,pem也不让删,这个吊销实际上是个残次品
好像还有证书请求频率的限制,暂时不折腾了。


附:证书请求频率限制: https://letsencrypt.org/docs/rate-limits/



gsls200808
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
StartSSL免费SSL证书续期注意事项
10-01
主要为大家介绍了StartSSL证书续期步骤和新申请证书的步骤,需要的朋友可以参考下
letsencrypt-win-simple.V1.9.3(Let's Encrypt For Windows)
06-23
Let's Encrypt是可以签发免费SSL/TLS证书的CA机构,它是为普及HTTPS而发起的,推动了基础DV SSL证书的普及。其证书已经被Mozilla、Google、Microsoft和Apple等主流浏览器支持,只需要web服务器配置好HTTPS证书,浏览器会在加载时验证web服务器HTTPS证书是否有效。 使用Let’s Encrypt一个很重要的理由是免费,避免ISP劫持;还有申请速度快、无需注册账户等优点。在对比了众多免费CA后,Let’s Encrypt是比较方便和理想的,它提供了基础DV SSL证书,只提供了数据加密;不验证身份,无法向用户证明网站的所有者。但即使这样也满足了基本需要了。 letsencrypt-win-simple可以在Windows系统上自动申请/续期/部署到IIS服务器上。
【免费申请SSL证书】申请免费的SSL证书(三)| 手把手教SSL证书自动续期
08-31
【免费申请SSL证书】申请免费的SSL证书(三)__手把手教SSL证书自动续期
freenom免费域名永久自动续期方案(源码分享)
05-26
freenom是很好用的一个免费域名提供商,该源码可以实现freenom免费域名永久自动续期
使用Certbot解决https证书自动更新的问题
xindoo
03-10 902
实际上确实就这么简单,这一步中certbot会解析你的nginx配置,然后申请相应域名的证书,并修改nginx配置文件将证书配置写入,然后还会触发nginx的reload让证书生效,这时候你的网站https就已经在使用新的https证书了,打开chrome浏览器你就可以看到类似的证书声明。,还有几个其他的域名用做小工具之类的,之前一直使用阿里云免费https证书,一次申请可以用一年,但现在阿里云免费证书缩短到3个月了,而我又有好几个域名,导致我每隔几周就必须重新申请配置一次https证书,很麻烦。
nginx 部署 Let‘s encrypt 免费ssl证书流程
qq_43533527的博客
12-10 2578
nginx 部署 Let's encrypt 免费ssl证书流程
阿晨的运维笔记 | 一键HTTPS并开启自动更新
IT学习社
07-26 1540
之前阿晨就分享过,阿晨的运维笔记 | 只要5分钟,给你的网站插上Https的翅膀,但是现在阿里云证书取消了免费证书的售卖,而且之前那种模式免不了一年后忘记重新配置导致网站HTTPS过期的问题。所以今天阿晨分享一个一劳永逸的方法! 开始之前,建议按照阿晨的另一篇Ubuntu一键部署Docker先部署上Docker和Docker Compose,因为待会会用上。 方案简介 Let’s Encrypt和CertBot 我们申请和使用Let's Encrypt的免费HTTPS证书, 就需要一个证书申请和管理的工具
certbot证书自动续签
cuwill的博客
05-11 793
renew-hook:证书更新完毕后,将关闭的nginx启动。(没有加入系统路径的要带上路径,如:/usr/local/nginx/sbin/nginx)2.在到期前30天之内才能续期,否则certbot会判断没有必要进行续期。–force-renewal:强制更新证书,无视30天之内限制。1.80端口没有被占用,因为更新证书需要用到80端口。certbot的证书有效期为90天,手动续期
Certbot命令行工具使用说明
weixin_42164567的博客
04-21 3272
用法: certbot [子命令] [选项] [-d 域名] [-d 域名] ... Certbot工具用于获取和安装 HTTPS/TLS/SSL 证书。默认情况下,Certbot会尝试为本地网页服务器 (如果不存在会默认安装一个到本地)获取并安装证书。最常用的子命令和选项如下: 获取, 安装, 更新证书: (默认) run 获取并安装证书到当前网页服务器 c...
How To Secure Apache with Let's Encrypt on Ubuntu (Free SSL)
weixin_30607029的博客
08-21 118
IntroductionThis tutorial will show you how to set up a TLS/SSL certificate fromLet’s Encrypton an Ubuntu 14.04 server running Apache as a web server. We will also cover how to automate the certific...
更新SSL证书的 命令
微道道的博客
04-19 843
certbot-auto renew Cert not yet due for renewal 这句话的意思:证书尚未到期更新
一行命令,轻松搞定SSL证书自动续期
03-05
一行命令,轻松搞定SSL证书自动续期。 SSL证书,SSL证书管理,SSL证书 自动续期,SSL 证书自动更新,https证书管理,https证书管理,证书自动续签,nginx证书自动续期工具,nginx证书管理。
证书】certbot 工具,自动 letencrypt 通配符证书自动续期(renew
fwecology的博客
05-21 4148
证书
Lets Encrypt HTTPS证书续期renew
老码农重操旧事业
05-26 584
今天发现我司网站HTTPS无法访问了。 之前用Lets encrypt做了免费的证书,有印象是90天需要续期,掐指一算,差不多了。 google了半天,看了一堆中、英文文章,看的云里雾里。 最后,还是去官方网站一行一行仔细阅读,终于拨开云雾见青山。 按照官方文档https://eff-certbot.readthedocs.io/en/stable/using.html#renewing-certificates,只需要执行certbot renew命令即可。 因为,certbot是运行在docker里的,
Certbot自动更新续期HTTPS证书详解
荒野雄兵的专栏
09-11 852
命令意为: 以root权限执行命令,如果certbot命令存在且可执行,并且。你执行得太频繁了,服务端不给你更新证书,一般30天才给你更新证书。目录是否存在,不存在为真, 此时才执行后面的命令。如果systemd服务不存在才执行,明显不太对。为什么不直接用这个, 而且为什么要sleep。一个随机时间后,更新证书(这一句的意思是: 检测。
Certbot免费证书的安装·使用·自动续期
B★R★S的博客
06-17 6352
安装 yuminstallcertbot -y (CentOS) aptinstallcertbot -y (Debian)
Letsencrypt更新证书renew时出现错误produced an unexpected error: Missing command line flag or config entry
蜗牛的专栏
05-22 2899
一直使用的Letsencrypt的HTTPS证书,之前都正常自动更新,今天突然收到邮件提示域名证书快过期了,于是手动执行renew结果失败,出现一堆错误信息: Attempting to renew cert (xxx.me) from /etc/letsencrypt/renewal/xxx.me.conf produced an unexpected error: Missing comman...
使用certbot申请Let’s Encrypt通配符证书
youcijibi的博客
12-16 937
一, 1.获取certbot-auto # 下载 wget https://dl.eff.org/certbot-auto # 设为可执行权限 chmod a+x certbot-auto 2.开始申请证书 客户在申请 Let’s Encrypt 证书的时候,需要校验域名的所有权,证明操作者有权利为该域名申请证书,目前支持三种验证方式: dns-01:给域名添加一个 DNS T...
Let's Encrypt 配置泛域名通用证书
天行++的JAVA空间
12-08 686
申请通配符证书,只能使用 dns验证的方式,下面开始申请 获取certbot 客户端 # 下载 Certbot 客户端 $ wget -c https://dl.eff.org/certbot-auto -P /usr/local/bin/ # 设为可执行权限 $ chmod a+x /usr/local/bin/certbot-auto $ certbot-auto --version c...
uniapp 自动续期订阅
最新发布
03-12
UniApp是一种跨平台的应用开发框架,可以同时开发iOS、Android和Web应用。关于自动续期订阅的功能,UniApp本身并没有提供该功能的具体实现,但可以通过调用第三方支付平台的接口来实现。 一般来说,实现自动续期订阅功能需要以下几个步骤: 1. 集成支付平台SDK:选择一个支持自动续期订阅的支付平台,如Apple Store或Google Play,并根据其提供的文档集成相应的SDK到UniApp项目中。 2. 创建订阅产品:在支付平台的开发者后台创建订阅产品,并设置相应的价格、周期和续订规则。 3. 调用支付接口:在UniApp中调用支付平台SDK提供的接口,实现用户订阅功能。用户可以选择订阅某个产品,并进行支付操作。 4. 处理订阅状态:支付平台会返回用户的订阅状态信息,开发者需要在UniApp中处理这些信息,如判断用户是否已经订阅、订阅是否已过期等。 5. 自动续期处理:根据支付平台返回的订阅状态信息,开发者可以在UniApp中实现自动续期的逻辑,如在订阅即将到期时提醒用户、自动续费等。 需要注意的是,具体的实现方式可能因支付平台的不同而有所差异,开发者需要根据所选择的支付平台的文档进行具体的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值