الصفحة الرئيسية>PHP كود المصدر>فئات أخرى
تنزيل

وظيفة

هل أنت قلق من عدم إمكانية تجديد (تجديد) شهادة حرف البدل Letencrypt تلقائيًا باستخدام أداة certbot؟ هذه الأداة يمكن أن تساعد!

بغض النظر عن الطلب أو التجديد، طالما أنها شهادة بدل، فلا يمكن التحقق من اسم مجال مقدم الطلب إلا باستخدام dns-01، مما يعني أنه يجب على مشغل certbot إضافة سجلات DNS TXT يدويًا.

إذا كتبت Cron (مثل 1 1 */1 * * root certbot-auto Renew) لتجديد شهادة حرف البدل تلقائيًا، فلن يتمكن Cron من إضافة سجل TXT تلقائيًا، وبالتالي ستفشل عملية التجديد.

يوفر certbot خطافًا يسمح لك بكتابة برنامج نصي Shell والسماح للبرنامج النصي باستدعاء واجهة API الخاصة بموفر خدمة DNS لإضافة سجلات TXT ديناميكيًا، بحيث لا يلزم التدخل اليدوي.

من بين أمثلة المكونات الإضافية والربطات المقدمة رسميًا بواسطة certbot، لا توجد أمثلة لخوادم DNS المحلية، لذلك كتبت مثل هذه الأداة، التي تدعم حاليًا Alibaba Cloud DNS و Tencent Cloud DNS و Huawei Cloud NDS و GoDaddy (لا يحتوي certbot على المعادل الرسمي).

لقد تم دمج العديد من العلاقات العامة مؤخرًا ولم يتم اختبارها. إذا كانت لديك أية أسئلة، فيرجى إعطائي تعليقاتك.

التقديم تلقائيًا للحصول على شهادة بدل

1: تحميل 

 $ git clone https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au

$ cd certbot-letencrypt-wildcardcertificates-alydns-au

$ chmod 0777 au.sh

2: التكوين

(1)domain.ini

إذا كان الملف domain.ini لا يحتوي على اسم المجال الجذر الخاص بك، فيرجى إضافته بنفسك.

(2) مفتاح DNS API:

ماذا يعني مفتاح API هذا؟ نظرًا لأنك تحتاج إلى تشغيل سجلات Alibaba Cloud DNS وTencent Cloud DNS من خلال واجهة برمجة التطبيقات، فأنت بحاجة إلى الحصول على مفتاح API من مزود خدمة اسم المجال، ثم تكوينه في ملف au.sh:

  • ALY_KEY وALY_TOKEN: مفتاح Alibaba Cloud API ومستندات التطبيق الرسمية السرية.
  • TXY_KEY وTXY_TOKEN: وثائق التطبيق الرسمية الرئيسية لـ Tencent Cloud API.
  • HWY_KEY وHWY_TOKEN: مستند التطبيق الرسمي لمفتاح Huawei Cloud API
  • GODADDY_KEY وGODADDY_TOKEN: مستندات التطبيق الرسمية الرئيسية لـ GoDaddy API.

(3) حدد بيئة التشغيل

حاليًا، تدعم الأداة خمس بيئات وسيناريوهات تشغيل، والتي يتم استدعاؤها من خلال ملفات ومعلمات الربط:

  • PHP (> 4 وما فوق الإصدارات مقبولة)
    • au.sh php aly add/clean: تقوم PHP بتشغيل Alibaba Cloud DNS وإضافة/مسح DNS.
    • au.sh php txy add/clean: يقوم PHP بتشغيل Tencent Cloud DNS ويضيف/يمسح DNS.
    • au.sh php godaddy add/clean: يقوم PHP بتشغيل GoDaddy DNS ويضيف/يمسح DNS.
  • Python (يدعم الإصدارين 2.7 و3.7، دون الحاجة إلى أي مكتبات تابعة لجهات خارجية)
    • au.sh python aly add/clean: تقوم Python بتشغيل Alibaba Cloud DNS وإضافة/مسح DNS.
    • au.sh python txy add/clean: تقوم Python بتشغيل Tencent Cloud DNS وإضافة/مسح DNS.
    • au.sh python hwy add/clean: تقوم Python بتشغيل Huawei Cloud DNS وإضافة/مسح DNS.
    • au.sh python godaddy إضافة/تنظيف: تقوم Python بتشغيل GoDaddy DNS وإضافة/مسح DNS.

اختر أي غلاف ربط (بما في ذلك المعلمات المقابلة) وفقًا لبيئة الخادم الخاصة بك وموفر خدمة اسم المجال، انظر أدناه لمعرفة الاستخدام المحدد.

3: التقدم بطلب للحصول على الشهادة

اختبار الأخطاء: 

 $ ./certbot-auto certonly  -d *.example.com --manual --preferred-challenges dns --dry-run  --manual-auth-hook "/脚本目录/au.sh php aly add" --manual-cleanup-hook "/脚本目录/au.sh php aly clean"

تصحيح الأخطاء: قد تواجه سلسلة من المشكلات عند تشغيل DNS API، مثل عدم كفاية أذونات الرمز المميز لواجهة برمجة التطبيقات. إذا واجهت مشكلات ذات صلة، فيمكنك التحقق من /var/log/certd.log.

شرح مهم: --manual-auth-hook و --manual-cleanup-hook لهما ثلاث معلمات:

  • الأول يمثل اللغة التي تريد اختيارها (php/python)
  • تمثل المعلمة الثانية بائع DNS الخاص بك (aly/txy)
  • تم إصلاح المعلمة الثالثة (يتم استخدام add في --manual-auth-hook، ويتم استخدام clean في --manual-clean-hook)

على سبيل المثال، إذا كنت تريد اختيار بيئة Python، فيمكنك تغيير إدخال --manual-auth-hook إلى "/script Directory/au.sh python aly add"، وإدخال --manual-cleanup-hook إلى "/ دليل البرنامج النصي/au.sh بيثون علي نظيف"

بعد التأكد من صحته، قم بتشغيله فعليًا (قم بإزالة معلمة --dry-run): 

 # 实际申请
$ ./certbot-auto certonly  -d *.example.com --manual --preferred-challenges dns --manual-auth-hook "/脚本目录/au.sh php aly add" --manual-cleanup-hook "/脚本目录/au.sh php aly clean"

شرح المعلمة (لا داعي للقلق بشأن ذلك):

  • certonly: يشير إلى أنه تم استخدام وضع التحقق، وسيتم الحصول على الشهادة فقط، ولن يتم تكوين الشهادة لخادم الويب.
  • --دليل: يشير إلى البرنامج الإضافي
  • --preferred-challenges dns: يشير إلى أنه يتم استخدام DNS للتحقق من شرعية مقدم الطلب (سواء كان مسؤول اسم المجال)
  • --dry-run: اختبار قبل تطبيق/تجديد الشهادة فعليًا، يوصى به بشدة
  • -d: يشير إلى أنك بحاجة إلى التقدم بطلب للحصول على شهادة لاسم النطاق هذا، ويمكن أن تكون هناك شهادات متعددة.
  • --manual-auth-hook: استدعاء ملف الخطاف عند تنفيذ الأمر
  • --manual-cleanup-hook: مسح السجلات المضافة بواسطة DNS

إذا كنت تريد التقدم بطلب للحصول على شهادات أحرف البدل لأسماء نطاقات متعددة (مدمجة في شهادة واحدة، وتسمى أيضًا شهادة SAN Wildcard )، فما عليك سوى إدخال معلمات -d مباشرة، على سبيل المثال: 

 $ ./certbot-auto certonly  -d *.example.com -d *.example.org -d www.example.cn  --manual --preferred-challenges dns  --dry-run --manual-auth-hook "/脚本目录/au.sh php aly add" --manual-cleanup-hook "/脚本目录/au.sh php aly clean"

تجديد الشهادة

1: تجديد كافة الشهادات الموجودة على الجهاز 

 $ ./certbot-auto renew  --manual --preferred-challenges dns --manual-auth-hook "/脚本目录/au.sh php aly add" --manual-cleanup-hook "/脚本目录/au.sh php aly clean"

2: تجديد شهادة معينة

انظر أولاً إلى عدد الشهادات الموجودة على الجهاز: 

 $ ./certbot-auto certificates

ويمكنك مشاهدة العديد من الشهادات كما هو موضح في الشكل:

تذكر اسم الشهادة، مثل simplehttps.com، ثم قم بتشغيل الأمر التالي: 

 $ ./certbot-auto renew --cert-name simplehttps.com  --manual-auth-hook "/脚本目录/au.sh php aly add" --manual-cleanup-hook "/脚本目录/au.sh php aly clean"

انضم إلى كرونتاب

تحرير الملف /etc/crontab: 

 #证书有效期<30天才会renew,所以crontab可以配置为1天或1周
1 1 */1 * * root certbot-auto renew --manual --preferred-challenges dns  --manual-auth-hook "/脚本目录/au.sh php aly add" --manual-cleanup-hook "/脚本目录/au.sh php aly clean"

إذا كان جهاز certbot هو نفس الجهاز الذي يقوم بتشغيل خدمات الويب (مثل nginx وApache)، فبعد تجديد الشهادة بنجاح، يمكنك بدء خادم الويب المقابل وتشغيل crontab التالي: 

 # 注意只有成功renew证书,才会重新启动nginx
1 1 */1 * * root certbot-auto renew --manual --preferred-challenges dns --deploy-hook  "service nginx restart" --manual-auth-hook "/脚本目录/au.sh php aly add" --manual-cleanup-hook "/脚本目录/au.sh php aly clean"

ملاحظة: يوصى بالتشغيل بهذه الطريقة فقط على جهاز واحد. إذا كنت تريد مزامنة الشهادة مع خوادم ويب متعددة، فأنت بحاجة إلى حل آخر قيد التطوير حاليًا، والغرض الرئيسي هو مزامنة الشهادة مع خادم المجموعة.

يساهم

  • نسخة علي بابا كلاود بيثون @Duke-Wu
  • نسخة Tencent Cloud python @akgnah
  • نسخة هواوي السحابية بيثون @jinhucheung
  • إصدار GoDaddy PHP wlx_1990 (11/01/2019)

آخر

  • يمكنك متابعة الحساب العام (Yudadanwx) لمعرفة المزيد حول التشفير وبروتوكول HTTPS.
  • قمت بتأليف كتاب "HTTPS in Simple and Simple: From Principles to Practice" لمعرفة المزيد عن HTTPS. إذا كنت تعتقد أن هذا الكتاب جيد، آمل أن تتمكن من ترك مراجعة على Douban حتى يتمكن المزيد من الأشخاص من فهمه. شكرًا جزيلاً لك. عنوان تعليق دوبان: https://book.douban.com/subject/30250772/

رمز الاستجابة السريعة للحساب الرسمي:

"مقدمة متعمقة لـ HTTPS: من المبادئ إلى الممارسة" رمز الاستجابة السريعة:

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل