Nginx的SSL通配符证书自动续期

已于 2025-08-15 10:42:36 修改
阅读量394 收藏 6
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 服务器 Linux SSL 文章标签: nginx ssl 运维
于 2025-08-13 17:41:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35204012/article/details/150352012

在 CentOS 系统中使用 Certbot 自动申请和续期 SSL 证书的步骤如下,以 Nginx 为例(Apache 步骤类似,只需替换对应插件):

一、安装 Certbot 及依赖

CentOS 系统需先启用 EPEL 仓库(提供 Certbot 包),再安装相关组件:

# 1. 安装 EPEL 仓库(CentOS 7/8 通用)
sudo yum install -y epel-release

# 2. 安装 Certbot 及 Nginx 插件
# CentOS 7
sudo yum install -y certbot python2-certbot-nginx

# CentOS 8(Python 3 版本)
sudo dnf install -y certbot python3-certbot-nginx

二、申请证书并自动配置 Nginx

根据证书类型(单域名/通配符)选择对应命令:

1. 单域名/多域名证书(HTTP 验证,简单快捷)

适用于普通域名(如 example.comwww.example.com),通过 HTTP 方式验证域名所有权:

sudo certbot --nginx -d example.com -d www.example.com
  • 执行后会自动完成:
    • 申请 Let’s Encrypt 证书
    • 修改 Nginx 配置(添加 SSL 配置,替换原有证书路径)
    • 自动启用 HTTPS 并跳转(HTTP → HTTPS)
2. 通配符证书(DNS 验证,支持 *.example.com

适用于需要覆盖所有子域名的场景(如 a.example.comb.example.com),需通过 DNS TXT 记录验证:

sudo certbot --nginx -d example.com -d *.example.com
  • 执行后会提示:
    1. 生成一条 DNS TXT 记录(格式如 _acme-challenge.example.com 对应一串随机值)
    2. 登录你的域名解析平台(如阿里云、Cloudflare 等),添加该 TXT 记录
    3. 等待 DNS 生效(约 5-10 分钟,可通过 nslookup -type=TXT _acme-challenge.example.com 验证)
    4. 按回车继续,完成证书申请和配置

三、验证证书安装

# 查看已安装的证书信息
sudo certbot certificates

输出会显示证书路径(通常在 /etc/letsencrypt/live/example.com/)、有效期等信息。

四、自动续期配置

Let’s Encrypt 证书有效期为 90 天,Certbot 会自动创建定时任务续期:

# 查看自动续期任务(CentOS 7 用 cron,CentOS 8 用 systemd-timer)
# CentOS 7
sudo crontab -l | grep certbot

# CentOS 8
sudo systemctl list-timers | grep certbot
手动测试续期(推荐首次使用时验证):
# 模拟续期(不实际修改证书)
sudo certbot renew --dry-run

# 若测试通过,实际续期命令(正常情况下无需手动执行,定时任务会自动运行)
sudo certbot renew

# 续期后重载 Nginx 使新证书生效(定时任务会自动处理)
sudo systemctl reload nginx

五、关键说明

  1. 自动替换 Nginx 配置
    使用 --nginx 插件时,Certbot 会自动修改 Nginx 配置文件(通常在 /etc/nginx/conf.d/ 或 /etc/nginx/sites-available/),更新 ssl_certificate 和 ssl_certificate_key 路径,覆盖原有证书配置。

  2. 卸载证书
    若需删除证书并恢复配置:

    sudo certbot delete --cert-name example.com

  3. 防火墙配置
    确保 443 端口(HTTPS)已开放:

    # CentOS 7
sudo firewall-cmd --add-service=https --permanent
sudo firewall-cmd --reload

# CentOS 8
sudo firewall-cmd --add-service=https --permanent
sudo firewall-cmd --reload

通过以上步骤,即可在 CentOS 系统中使用 Certbot 免费、自动地管理 SSL 证书,包括申请、续期和配置 Nginx。

【HTTPS】免费SSL证书配置Let‘s Encrypt自动续期
Hello, New World!
04-15 817
若需修改续期频率,需编辑 Snap 定时器的配置(需通过 Snap 命令或修改系统级定时器文件),但默认配置已足够安全(证书到期前 30 天内才会实际续期)。每 12 小时(即每天的 0 点和 12 点)执行一次 certbot renew 命令,–quiet 选项用于在执行时不输出过多信息。:服务器B修改相应的nginx ssl证书配置即可,参考服务器A。:拷贝服务器A上生成的文件到服务器B,并设置相应的权限和软连接。我在服务器B还需要拷贝证书,用于 prod 的域名。验证来申请泛域名证书
【新】snapd申请Let‘s Encrypt免费SSL证书自动化续签证书
赵昕彧
05-21 1410
SSL证书申请,写得比较详细,但是最近发现使用snapd会更方便。使用机器:Ubuntu 20.04。
nginx自动续期ssl证书
穆雄雄的博客
08-04 742
前年,阿里将免费的ssl证书从一年调整成了三个月;去年,腾讯将免费的ssl证书从一年调整成了三个月;以前一年申请一次,都觉得麻烦,现在三个月就得申请一次,尤其是项目比较多,用的子级域名也多的情况下,得天天看短信哪个ssl证书到期了,很是头疼。好在,也是有解决方法的。
配置自动续期ssl证书-nginx
q764535104的博客
05-31 1028
注:每月14号的20:00运行脚本auto_update_ssl.sh。
Nginx SSL 证书自动颁发部署教程一条龙
NidhoogJX的博客
06-15 437
最近业务需求搞HTTPS,本着想这就是个证书然后研究了下记录下,网上先查了下,本着能白嫖就白嫖的思路,我们肯定不搞付费SSL证书,但是貌似腾讯云,和阿里云这些都可以申请免费证书,但是都需要备案,于是乎我就查到了证书Let’s Encrypt 是一个免费、自动化和开放的证书颁发机构,由非营利性互联网安全研究小组 (ISRG) 提供嚯,免费的东西我喜欢,但是仔细看了下,申请的证书只有三个月期限,到期后需要重新申请,这就不友好了,当时第一个念头是应该有自动管理的东西,
let‘s encrypt 生成通配符ssl证书自动续期
xuedong的博客
04-09 557
获取脚本 wget https://get.acme.sh | sh 这里会有问题我是直接下载压缩包直接解压安装 下载 https://codeload.github.com/acmesh-official/acme.sh/tar.gz/master 解压 tar -zxvf acme.sh-master.tar.gz 安装 ./acme.sh --install -m [email protected] 添加acme bash命令 alias acme.sh=~/.acme.sh/acme.sh 添加..
cerbot 实现通配符子域名证书+续期
baidu_21349635的专栏
11-02 1642
如果一个-d只需要配置一个txt规则,如果是2个-d配置2个txt规则。是单个域名的方式,实现颁发证书续期的,如果添加子域名还得需要重新操作,那么有没有通配符的方式实现一劳永逸呢。因为我的nginx是用docker部署的,这里略有不同,需要使用容器卷,地址写nginx容器内的路径。正常这样就可了,我的renew_cert.sh还需要添加文件拷贝到nginx容器的操作,就不展示了。下面是我的公众号,以后文章会同步更新,有需要的可以订阅。上面的命令输出完完后,会有txt记录,
httpsok-v1.17.0-SSL通配符证书自动续签
thomastangweixin的专栏
09-29 674
httpsok是一个便捷的 HTTPS 证书自动续签工具,基于全新的设计理念,专为 Nginx 、OpenResty 服务器设计。已服务众多中小企业,。
ssl证书过期怎么解决?httpsok 证书自动续期工具
weixin_49756931的博客
02-17 702
证书过期 SSL证书
Certbot 生成 SSL 证书并配置自动续期
weixin_50848244的博客
09-12 1279
之前都是用阿里或者腾讯的免费证书,但是现在域名有点多,还不支持通配符所以根本就不够用,用这个先顶着,老板也是贼抠门,有问题直接沟通
SSL证书自动生成并自动续期(解决泛域名续签问题)
qq1010830256的博客
10-08 3054
ssl证书自动生成并自动续期
使用certbot实现免费ssl证书申请和自动续期工具安装和配置
u011585609的专栏
09-03 1088
申请SSL证书,第一种全自动,通过certbot nginx插件读取nginx配置,管理nginx实现ssl证书的申请、部署和续期;第二种通过手动申请证书,手动管理nginx ssl证书,通过crontab定时任务实现证书自动续期;申请成功后,会在/etc/letsencrypt/live/{域名}/下生成证书一些文件。安装 certbot 以及 certbot nginx 插件。执行配置自动申请证书并配置,中途会询问你的邮箱,如实填写即可。打开nginx配置文件并添加ssl证书地址。
Let's Encrypt 证书 SSL通用证书 配置与自动续期
weixin_43139174的博客
11-09 1614
什么是 Let’s Encrypt? 部署 HTTPS 网站的时候需要证书证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 HTTPS 协议的使用。Let’s Encrypt 也是一个 CA 机构,但这个 CA 机构是免费的!!!也就是说签发证书不需要任何费用。Let’s Encrypt 由于是非盈利性的组织,需要控制开支,他们搞了一个非常有创意的事情,设计了一...
OpenSSL与OpenSSH的关系
weixin_53389944的博客
08-19 554
OpenSSL 和 OpenSSH 是两个在网络安全中广泛使用的开源工具,虽然它们都涉及加密和通信安全,但功能和应用场景有显著差异。OpenSSH 使用 OpenSSL 的加密算法(如 AES、RSA)和随机数生成器来保证通信安全。例如,SSH 握手过程中的密钥交换依赖 OpenSSL 的库。,提供了广泛的加密、解密、证书管理等功能,用于实现 SSL/TLS 协议以及其他安全通信需求。的工具,用于安全远程登录和文件传输。OpenSSL 是一个功能强大的。OpenSSH 是一套基于。
终极方案!lightRag/graphRag离线使用tiktoken持续报错SSLError,不改源码,彻底解决!
chenxin0215的博客
08-18 360
将手动获取的文件o200k_base.tiktoken复制到 /home/user/tiktoken 目录下,在该目录下,将o200k_base.tiktoken直接重命名为fb374d419588a4632f3f557e76b4b70aebbca790。https://openaipublic.blob.core.windows.net/encodings/o200k_base.tiktoken 这个资源,然后配置一个本地tiktoken的缓存文件夹 如: /home/user/tiktoken。
SSL配置迁移到Nacos的步骤
weixin_60246228的博客
08-20 270
要将SSL配置从本地。
ssl代理
最新发布
2403_86572967的博客
08-20 456
SSL代理是处理加密流量的中间设备,分为透传模式(不解密转发)和中间人模式(解密转发)。透传模式仅作流量中转,适用于负载均衡;中间人模式需代理持有可信证书,实现"解密-处理-再加密"流程。按部署位置分为正向代理(客户端侧,用于企业管控)和反向代理(服务器侧,用于SSL卸载和负载均衡)。SSL握手过程涉及版本协商、密钥交换和身份验证(单向/双向认证),最终生成会话密钥进行加密通信。代理部署时需考虑证书信任、性能开销等关键因素。
解决 nginx: [warn] “ssl_stapling“ ignored, issuer certificate not found 报错
weixin_66855479的博客
08-20 492
前言:在 Nginx 部署 HTTPS 服务时,不少开发者会遇到 `nginx: [warn] "ssl_stapling" ignored, issuer certificate not found for certificate` 的警告。这个看似简单的警告背后,涉及到 HTTPS 证书验证的核心逻辑与性能优化机制。本文将从原理到实践,全面解析该问题的解决方法,并拓展相关知识点,帮助你深入理解 SSL/TLS 配置的精髓。
SMTPman,smtp ssl助力安全高效邮件传输!
tomcsdn31的博客
08-18 499
SMTPman,smtp ssl在企业邮件传输中的作用不可替代。无论是安全性、稳定性,还是跨境传输和客户体验,SMTPman,smtp ssl都表现出色。选择SMTPman,smtp ssl,就是为企业的通信体系增加一层坚固的保障。
通配符nginx证书部署
01-11
### 如何在Nginx中部署通配符证书 #### 准备工作 为了能够在Nginx中成功部署通配符SSL/TLS证书,需先获取该类型的证书。通常这可以通过Let's Encrypt这样的免费服务提供商获得,使用`acme.sh`作为客户端工具可以简化这一过程[^1]。 对于通过DNS挑战方式申请通配符证书而言,确保域名的DNS解析正常运作至关重要;另外还需设置好相应的API访问权限以便于自动化验证流程能够顺利执行。一旦准备就绪,则可通过命令行指令借助`acme.sh`完成证书签发请求并下载所需的`.pem`格式私钥与公钥文件。 #### 修改Nginx配置以支持HTTPS协议下的通配符证书 编辑Nginx站点配置文件,在server区块内加入如下所示参数: ```nginx server { listen 443 ssl; server_name *.example.com; ssl_certificate /path/to/your/fullchain.pem; ssl_certificate_key /path/to/your/private.key; # SSL安全强化建议配置项 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384'; } ``` 上述代码片段展示了如何指定路径指向之前所提到过的由ACME颁发机构返回给用户的两个重要文件——fullchain.pem(即包含中间CA在内的整个链条) 和 private.key (账户专属密钥)。同时启用了更高级别的传输层安全性(TLS),以及选择了更为严格的加密算法集来保障通信的安全性[^2]。 #### 自动续期机制集成至Nginx环境之中 为了让Nginx始终维持有效的TLS连接状态而不会因为证书过期而导致服务中断现象发生,应该考虑建立一套定期检查现有凭证有效期长短的任务计划,并配合脚本实现无缝切换新旧版本之间的平滑过渡操作。例如利用cron定时器加上简单的bash shell script即可达成目的: ```shell #!/bin/bash # 定义变量存储证书位置 CERT_PATH="/etc/nginx/certs" DOMAIN="*.example.com" # 更新证书逻辑... if ! acme.sh --dns dns_cf ;then echo "Failed to renew certificate!" else systemctl reload nginx fi ``` 此段Shell脚本实现了当检测到即将到期时尝试重新发放新的有效期内的通配符证书实例的功能,并且如果一切顺利的话还会向Nginx发送信号通知其重载最新的配置变更从而立即生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lytcreate.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值