申请域名SSL证书并自动推送至阿里云 CDN

已于 2024-01-05 09:44:28 修改
阅读量835 收藏 7
点赞数 8
分类专栏: Linux 文章标签: ssl 阿里云 服务器
于 2024-01-04 20:03:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leijuly/article/details/135394463
版权

        

        近期国外SSL证书厂商调整了免费证书的续签规则,一年期的证书全部取消,现在只能申请90天有效期的免费证书。普通web站点可以通过宝塔面板或部署acme.sh等证书自动管理工具来实现自动化申请和部署,但是阿里云之类的CDN服务就只能通过手动或OpenAPI接口来实现证书更新。如果管理的SSL证书比较多,一是容易遗漏,另外纯靠手动更新,这个工作量就很可怕了。

找了一圈资料,这篇文章比较有参考价值:    这篇文章比较有参考价值:申请通配符域名证书并自动推送至阿里云 CDN功能和特性 能够申请域名通配符证书 每两个月自动 renew 证书 自动将证书推送到阿里云 CDN 准备 Linux 服务器(参考系统:Ubuntu 20.04) 在阿里云托管的域名icon-default.png?t=N7T8https://www.wqy.ac.cn/p/2311-acme-aliyuncdn/

        但是其中 UpdateSSLCert.sh 脚本跑不通(证书申请成功之后无法推送至CDN,提示UploadUserCertificate方法没有权限), 不知是不是阿里云又调整了规则。   

        仔细查看了下阿里云的OpenAPI文档,发现CDN证书更新只需要调用SetCdnDomainSSLCertificate 这个接口方法就可以,参考上述文章的脚本,直接使用阿里云CLI命令行工具做了下简化:

服务器先按照官方说明安装CLI命令行工具,安装指南_阿里云CLI(CLI)-阿里云帮助中心

#!/usr/bin/env bash

# 使用的 OpenAPI
# CAS: https://help.aliyun.com/document_detail/126507.html
# CDN:https://help.aliyun.com/document_detail/106661.html

# 可配合 acme.sh 使用的 renewHook 脚本:自动将新证书上传至阿里云并更新对应 CDN 域名,然后删除对应域名的旧证书。
# 每次 API 执行都会检测是否失败,如果失败,会中断脚本执行并返回自定义错误代码。

# RIBO: 修改为自己的 AccessKey
AliAccessKeyId="<AliAccessKeyId>"
AliAccessKeySecret="<AliAccessKeySecret>"

# shellcheck source=AliyunOpenApiSDK.sh
# RIBO: 这里需要修改 aliyun-openapi-bash-sdk 的路径
#source /root/aliyun-openapi-bash-sdk/AliyunOpenApiSDK.sh

# acme.sh 执行 renewHook 时导出的环境变量列表
ACME_ENV_LIST=(
    "CERT_KEY_PATH"
    "CERT_FULLCHAIN_PATH"
    "Le_Domain"
)
# 检查环境变量是否存在
for value in "${ACME_ENV_LIST[@]}" ; do
   [[ -v "$value" ]] || exit 1
done
unset value
# 获取证书自定义函数
get_cert() {
    # 使用 sed 删除掉证书文件的空行
    sed -e "/^$/d" "$CERT_FULLCHAIN_PATH"
}
# 获取密钥自定义函数
get_key() {
    cat "$CERT_KEY_PATH"
}

# shellcheck disable=SC2154
DOMAIN=$Le_Domain
# 证书名称 (替换域名的 . 为 _,以符合阿里云证书名称规范)
CERT_NAME="${DOMAIN//./_}-$(date +%s)"
# 需要更新证书的 CDN 域名列表
# RIBO: 修改这里的 CDN 域名列表
DOMAIN_LIST=(
    "example.com"
    "www.example.com"
)

# 设置 CDN 域名列表使用新的证书
for _domain in "${DOMAIN_LIST[@]}"; do
    aliyun cdn SetCdnDomainSSLCertificate --DomainName "$_domain" --SSLPub="$(get_cert)" --SSLPri="$(get_key)"  --CertType upload --SSLProtocol on || exit 103
done
unset _domain

RAM 用户授权也只需两项

  • AliyunDNSFullAccess 管理云解析(DNS)的权限
  • AliyunCDNFullAccess 管理CDN的权限

实测跑通,目前发现的唯一问题就是随着时间推移,证书管理服务里的列表估计会越来越大,需要定期手动清理掉过期的证书。

leijuly
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cdn_cert:自动将新证书推送CDN
05-21
CDN Cert 自动将 Let's encrypt 续签后的证书推送阿里云 CDN v2 更新日志 更新于 2019 年 7 月 8 日 支持多 RAM 账号。 即当您有多个网站存在于同一个服务器上,且多个网站部署CDN时使用的不是同一阿里云账号时, CDN Cert 可以向多个阿里云账号推送续签后的证书。 完全迁移至 Python 3.7 工作原理 定期[1]对比存储在本机的证书与上一次推送成功的证书的 MD5 如有差异则将新证书推送CDN 使用 SQLite3 做为数据库,并支持阿里云邮件推送服务,如有更新可以将推送结果发送到您的邮箱。 配置环境 准备 git clone https://github.com/0xJacky/cdn_cert.git "CDN Cert" pip3 install -r requirements.txt 配置 将 settings-templa
certbot ssl域名免费证书自动申请更新及自动更新阿里云cdn
luanwuqingyang的专栏
10-18 620
certbot ssl域名证书自动申请更新及自动更新阿里云cdn
OHTTPS,一款免费且好用的SSL证书管理工具
一行Java的博客
10-19 5517
自建站SSL证书的痛点 自己瞎折腾,搭建了一个个人的博客平台(https://lupf.cn);作为程序员,B格还是得有的,因此,SSL证书也就必须得安排上呢,不然一访问,显示不安全的链接,有点丢不起那个人。可是,各大云平台的免费SSL证书,都只支持二级域名,没办法配置泛域名,导致每添加一个二级域名,就得新申请一个SSL证书,假如都到期了话,就得全部重新申请一遍,重新配置一遍,着实麻烦;如果要使用泛域名,就得付费购买,一年小几千的;而对于白嫖党,花这笔几K的费用,着实有点不划算;因此就盯上了Let’s E.
阿里云cdn python3
01-13
阿里云cdn 验证python3 版本 用于阿里云cdn的验证,
阿里云CDN加速配置
11-10
阿里云CDN加速配置阿里云CDN加速配置阿里云CDN加速配置阿里云CDN加速配置阿里云CDN加速配置阿里云CDN加速配置
阿里云免费 SSL 证书到期后更新证书操作步骤
热门推荐
zhuzj12345的博客
11-21 2万+
今天早上我发现我的网站不能正常的通过 https 访问了,被谷歌浏览器拦截,提示隐私设置错误。然后我们 Safari 浏览器进行访问,提示此链接非私人连接,同样的被拦截了。然后我根据谷歌浏览器的提示信息,发现是我的 https 安全证书已在昨天过期。于是我就紧急进行证书升级,本文是我的升级操作过程,分享给大家,方便大家参考操作。 谷歌浏览器的提示信息如下:“此服务器无法证明它是 www.xttb...
阿里云国际如何使用邮件推送CDN阿里云上安装在线论坛
九河云的创作之路
04-15 2889
Discourse 是一个现代、免费且开源的论坛系统,运行在 Ruby on Rails 上。它使用PostgreSQL作为其数据库和Redis缓存。话语被许多顶级公司用来围绕他们的产品开发社区和论坛,并为客户提供支持。 在本指南中,87cloud将在带有Ubuntu 16.06的阿里云弹性计算服务(ECS)上安装Disches,并使用DirectMail发送电子邮件。我们将利用阿里云 CDN加速静态内容交付,实现静态内容交付。 您可以通过在阿里云注册新帐户来免费获得所有这些产品。 先决条件 对于.
阿里云OSS+CDN使用教程.zip
01-09
阿里云OSS+CDN使用教程.zip 网站文件动静分离 加快访问速度
阿里云服务(五)—内容分发CDN
01-07
 先进的分布式系统架构,国内节点数最多的云CDN:全球1500+  弹性带宽、低成本  资源弹性扩展,按实际使用量付费,接入即可实现跨运营商、跨地域的全网覆盖。  先用后付,提供按流量或峰值带宽两种计费方式,...
阿里云CDN相关术语及解释
03-27
阿里云CDN相关术语及解释
C# 操作阿里云OSS(资源上传、刷新CDN)
01-10
阿里云oss dll
阿里SSL证书两种配置方法
07-27
自己看的,附带uniapp证书制作
AD--SSL卸载--单向认证和双向认证
qq_61759561的博客
04-23 310
AD--SSL卸载--单向认证和双向认证
公网IP地址如何申请SSL证书?有免费的IP ssl吗?
abcd759200的博客
04-19 950
寻找并选择一个支持为IP地址颁发SSL证书的权威CA,确保选择的CA被主流浏览器广泛信任,以确保证书的兼容性和用户信任度。如果用户没有域名或只有公网IP地址或者不方便使用域名,IP地址ssl证书这一特殊的证书可以为IP地址实现HTTPS的安全保护,提高网站数据传输的安全性。下载由CA颁发的SSL证书文件,然后在您的服务器软件(如Apache、Nginx、IIS等)上正确配置这些文件,启用SSL/TLS加密
SSLHandshakeException: Remote host closed connection during handshake异常处理
zhongzih的博客
04-19 346
请求第三方https接口出现SSLHandshakeException: Remote host closed connection during handshake问题,本地正常,服务器异常。原因是服务器jdk版本是jdk1.8_40。现阶段找到三个方案,第一个是jdk1.8_151版本 添加或者修改Java\jre\lib\security\java.security。第二个直接替换jdk版本到jdk1.8_162版本,这个版本直接默认这个配置的。第三个就是用jdk1,7的版本。
阿里云ECS服务器安装docker
我在深圳的这些日子的博客
04-19 490
ECS 安装docker。详细步骤
阿里云直播推流和播流地址的生成方法PHP
最新发布
赛时科技
04-25 611
您可以使用推流地址通过推流工具将视频流推送阿里云平台进行视频的内容处理及分发,观众可以通过播放地址和播放器观看直播内容。推送阿里云中心的视频可以根据您的需求进行设置,从而适用于不同的应用场景。最近在用阿里云的直播SDK在进行直播功能的开发,整体来说磕磕绊绊,因为里面有好多的东西,一时半会的搞不定,但是工期又有期限,所以天天熬夜,程序员真心不容易,废话不多说,今天分享这个主要就是来说明一下阿里云的直播推流和播流地址怎么生成的。哎咋说呢,多多的实践吧,因为得静下心去测试,一起努力合作共赢。
阿里云mysql8.0 this is incompatible withsql mode=only full group by
教官的博客
04-19 555
this is incompatible withsql mode=only_full_group_by 通常是因为你的SQL查询与MySQL的SQL模式设置中的ONLY_FULL_GROUP_BY规则发生了冲突
阿里云cdn加速教程
09-07
阿里云CDN加速配置教程如下: 1. 在阿里云控制台中,选择CDN,进入CDN控制台。 2. 在控制台中,选择域名管理,然后点击【添加域名】按钮。 3. 在添加域名页面,输入您的主域名,并选择合适的业务类型,例如站点加速、点播、直播等。 4. 点击【下一步】,进入加速区域设置页面。***根据您的实际情况,选择源站类型,可以是IP地址、阿里云OSS、阿里云视频点播等。 6. 配置好源站后,点击【下一步】,进入CNAME配置页面。在此页面,您会得到一个加速后的CNAME域名,将您的主域名作CNAME指向该域名。 7. 完成CNAME配置后,点击【下一步】,进入HTTPS配置页面。您可以选择是否开启HTTPS加速,并配置相应的证书。 8. 完成HTTPS配置后,点击【下一步】,进入流量分配页面。根据您的需求,设置合适的流量分配。 9. 点击【下一步】,进入确认订单页面。确认您的配置信息,并点击【确认】,提交订单。 10. 完成订单提交后,CDN加速配置就完成了。您可以在域名管理页面查看到您的加速域名信息。 通过以上步骤,您就可以成功配置阿里云CDN加速。CDN加速可以将您的源站内容分发至最接近用户的节点,提高用户访问的响应速度和成功率。同时,CDN节点也可以缓存访问量较大的网页内容和对象,以提高网站访问的速度和质量。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值