Cyber Coding Course

師其意,不泥其跡

如何透過getssl自動檢測及更新let's encrypt發出的憑證

前言

let's encrypt提供免費的憑證真的很棒,不過,三個月要更新一次憑證是不是有點麻煩,
本文介紹,如何透過getssl,產生多域名的SAN憑證設定,放入排程自動進行憑證更新。
非常簡單哦,六個步驟即可搞定。

註:在下方的過程中,我使用非root的權限進行設定,如果你需要使用root才能重啟您的nginx主機,
請自行調整您安裝的使用者,或者是web server的重啟指令。

步驟

1. 透過git下載gessl,並且存成scripts。
git clone https://github.com/srvrco/getssl scripts

2.第一次使用,執行如下指令
cd scripts
./getssl -c ccc.tc

請將上方哉名ccc.tc換成您自己的域名
就會在您的家目錄,建立.getssl的資料夾及ccc.tc的目錄了
creating main config file /home/devin_yang/.getssl/getssl.cfg
Making domain directory - /home/devin_yang/.getssl/ccc.tc
creating domain config file in /home/devin_yang/.getssl/ccc.tc/getssl.cfg

3.用vim編輯設定,簡單拷貝第二步顯示的路徑即可。
vim /home/devin_yang/.getssl/ccc.tc/getssl.cfg

4.以下的getssl.cfg設定僅供參考,請依您自己實際的主機目錄及憑證資料夾,進行調整。
#選取發送憑證的主機
CA="https://acme-v01.api.letsencrypt.org"
#額外的域名
SANS="www.ccc.tc, devin.ccc.tc, mail.ccc.tc"

#設定ACME路徑,因為我是安裝在dlaravel的環境,ccc為我的project目錄。
#記得要在public下,建立該目錄.well-known/acme-challenge
ACL=('/home/devin_yang/dlaravel/sites/ccc/public/.well-known/acme-challenge')
USE_SINGLE_ACL="true"

#設定憑證路徑
CA_CERT_LOCATION="/home/devin_yang/dlaravel/etc/ssl/cert.crt"
DOMAIN_CHAIN_LOCATION="/home/devin_yang/dlaravel/etc/ssl/fullchain.pem"
DOMAIN_PEM_LOCATION="/home/devin_yang/dlaravel/etc/ssl/privkey.pem"
#D-Laravel的nginx重載指令
RELOAD_CMD="bash -c 'cd /home/devin_yang/dlaravel; ./console reload'"

#設定主機類型
​​​​​​​SERVER_TYPE="https"
關於RELOAD_CMD,如果您並非使用D-Laravel(docker-compose環境),
例如: nginx,重載方式在nginx應該是nginx -s reload,或在舊版CentOS或RedHat的Apache上,應該可以用service httpd graceful
關於主機部份的相關設定及說明就不在說明了,本文我假定讀者已設定好了let's encrypt的憑證在主機上,只是要完成自動更新功能。

5.手動更新憑證,並進行nginx主機重啟
cd ~/scripts
 ./getssl ccc.tc

6.使用crontab放入排程每明檢查,自動進行更新
15 5 * * * /home/devin_yang/scripts/getssl -u -a -q

補充:如果需強制更新憑證,我們可以用-f參數,例如我的SAN又補了新的域名
getssl -f ccc.tc

關於nginx上的憑證設定方式,可以參考我這篇:
如何設定nginx上的HTTPS,取得Qualys的SSL A+評分
 

作者: Devin Yang