基于dnspod下申请【let's encrypt】免费的ssl证书,安装&自动更新&同步到七牛融合cdn
【let's encrypt】的安装&自动更新&同步到七牛融合www
前言
目前,let's encrypt 能申请到支持泛域名的免费ssl证书
但免费的证书有效期为3个月,过期后再次申请就可以了
思路
1、申请证书使用的是 certbot,这是官方推荐的方式(必须有shell权限)
2、申请证书时,需要域名所有人权限校验,通过增加指定的txt记录来校验,可以手动操作,
也可以调dnspod提供的接口实现自动化
3、申请到证书之后,假设有用到七牛云融合www,需要同步证书
(当然也可以单独为www域名申请免费一年的证书,好处在于无须频繁更新)
实现
官方推荐使用certbot,正想安装的时候,意外发现,有个非常好用的脚本,
certbot-auto
这个脚本实现了自更新,自动安装certbot, 当然最主要的是申请证书
首先下载certbot-auto ,赋予权限
然后申请证书 :
手动申请 :
./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory -d "*.wzs.cc" --manual --preferred-challenges dns-01 certonly按提示操作
域名解析增加提示的txt记录
然后 ,等待1分钟左右,按回车即可生成证书
如果提示申请失败,大多是txt没有更新导致的,可以适当延长等待时间
自动申请:
自动申请需要自动添加域名txt记录,这里可以调dnspod提供的接口,
详情参考 dnspod接口文档
做成以下脚本
#!/bin/bash
#
# Create: certbot certonly --manual --preferred-challenges dns-01 --email mail@domain.com -d laravel.run -d *.laravel.run --server https://acme-v02.api.letsencrypt.org/directory --manual-auth-hook /path/to/certbot-auth-dnspod.sh
# Renew: certbot renew --manual-auth-hook /path/to/certbot-auth-dnspod.sh
#
# https://www.dnspod.cn/console/user/security
API_TOKEN="xxx,xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
USER_AGENT="AnDNS/1.0.0 (admin@wzs.cc)"
DOMAIN=$(expr match "$CERTBOT_DOMAIN" '.*\.\(.*\..*\)')
[ -z "$DOMAIN" ] && DOMAIN="$CERTBOT_DOMAIN"
if [ -z "$API_TOKEN" ]; then
[ -f /etc/dnspod_token_$DOMAIN ] && API_TOKEN=$(cat /etc/dnspod_token_$DOMAIN)
fi
if [ -z "$API_TOKEN" ]; then
[ -f /etc/dnspod_token ] && API_TOKEN=$(cat /etc/dnspod_token)
fi
if [ -z "$API_TOKEN" ]; then
API_TOKEN="$DNSPOD_TOKEN"
fi
PARAMS="login_token=$API_TOKEN&format=json"
echo "\
CERTBOT_DOMAIN: $CERTBOT_DOMAIN
DOMAIN: $DOMAIN
VALIDATION: $CERTBOT_VALIDATION"
#echo "PARAMS: $PARAMS"
if [ -f /tmp/CERTBOT_$CERTBOT_DOMAIN/VALIDATION ]; then
VALIDATION_PRE=$(cat /tmp/CERTBOT_$CERTBOT_DOMAIN/VALIDATION)
if [ "$CERTBOT_VALIDATION" = "$VALIDATION_PRE" ]; then
echo "Same Validation: $CERTBOT_VALIDATION"
exit
fi
fi
RECORDS=$(curl -s -X POST "https://dnsapi.cn/Record.List" \
-H "User-Agent: $USER_AGENT" \
-d "$PARAMS&domain=$CERTBOT_DOMAIN&keyword=_acme-challenge" \
| python -c "import sys,json;ret=json.load(sys.stdin);print(ret.get('records',[{}])[0].get('id',ret.get('status',{}).get('message','error')))")
echo "\
RECORDS: $RECORDS"
sleep 3
if [ -n "$RECORDS" ]; then
RECORD_ID="$RECORDS"
RECORD_ID=$(curl -s -X POST "https://dnsapi.cn/Record.Modify" \
-H "User-Agent: $USER_AGENT" \
-d "$PARAMS&domain=$CERTBOT_DOMAIN&sub_domain=_acme-challenge&record_type=TXT&value=$CERTBOT_VALIDATION&record_line=默认&record_id=$RECORD_ID" \
| python -c "import sys,json;ret=json.load(sys.stdin);print(ret.get('record',{}).get('id',ret.get('status',{}).get('message','error')))")
else
RECORD_ID=$(curl -s -X POST "https://dnsapi.cn/Record.Create" \
-H "User-Agent: $USER_AGENT" \
-d "$PARAMS&domain=$CERTBOT_DOMAIN&sub_domain=_acme-challenge&record_type=TXT&value=$CERTBOT_VALIDATION&record_line=默认" \
| python -c "import sys,json;ret=json.load(sys.stdin);print(ret.get('record',{}).get('id',ret.get('status',{}).get('message','error')))")
fi
echo "\
RECORD_ID: $RECORD_ID"
# Save info for cleanup
if [ ! -d /tmp/CERTBOT_$CERTBOT_DOMAIN ]; then
mkdir -m 0700 /tmp/CERTBOT_$CERTBOT_DOMAIN
fi
echo $DOMAIN > /tmp/CERTBOT_$CERTBOT_DOMAIN/DOMAIN
echo $RECORD_ID > /tmp/CERTBOT_$CERTBOT_DOMAIN/RECORD_ID
echo $CERTBOT_VALIDATION > /tmp/CERTBOT_$CERTBOT_DOMAIN/VALIDATION
# Sleep to make sure the change has time to propagate over to DNS
sleep 25通过--manual-auth-hook 参数调用域名鉴权,通过--post-hook 参数指定申请证书后续任务
最终的shell:
/data/certbot/certbot-auto renew --manual-auth-hook /data/certbot/certbot-auth-dnspod.sh --post-hook "nginx -s reload"虽然证书可以无限次申请,但这种福利就要珍惜,不要频繁调用,
以免对let's encrypt 增加不必要的服务器压力,
可以通过 crontab 来管理
30 5 12,24 * * /data/certbot/certbot-auto renew --manual-auth-hook /data/certbot/certbot-auth-dnspod.sh --post-hook "nginx -s reload" >> /data/certbot/renew.log 2>&1 &最后一步就是要把 申请到的新证书 ,同步到七牛云融合www上
参考官方文档 qiniu api
做成以下脚本 :
【由于时间关系,未完待续】
自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)