QUICコンバット(3)は証明書の申請と自動更新を暗号化する

その他 2021-02-28 19:44:14 訪問数: null

QUICクラスターをデプロイした後、最初に要求されたhttps証明書の有効期限が切れたため、証明書を再インストール/更新しようとしました。

Let's Encryptは、https証明書を自動的に発行する無料のプロジェクトです
。Certbotは、Let'sEncryptが推奨する公式の証明書生成クライアントツールです。

私のquicクラスターは元の証明書をカスタムディレクトリに直接コピーするため、certbotがインストールされていないため、最初にcertbotをインストールします。

Certbotをインストールします

独自のLinuxシステム(私の場合はRed Hat Enterprise Linux 8)に従って、snapdを最初にインストールし、対応するsnapdインストールチュートリアルを選択します

snapdをインストールします
$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
$ sudo dnf upgrade
$ sudo yum install snapd

ソフトリンクを作成する

$ sudo systemctl enable --now snapd.socket
$ sudo ln -s /var/lib/snapd/snap /snap
Certbotをインストールします
## 更新snap到最新的版本
sudo snap install core
sudo snap refresh core
## 去除其余Certbot操作系统包 确保安装后使用certbot命令使用的是snap
sudo apt-get remove certbot
sudo dnf remove certbot
sudo yum remove certbot

sudo snap install --classic certbot
#创建软链接
sudo ln -s /snap/bin/certbot /usr/bin/certbot

証明書を更新する

古い証明書をマシンに保存しているので、最初は古い証明書を直接更新することを考えていました。まず、certbot certificates現在のサーバーの証明書情報を確認しました
が、現在の証明書情報が返されませんでした。証明書を移行したときにnginxの構成に必要なpemファイルのみを移行したためと思われます。また、ストレージパスも、古いクラスターが証明書をインストールしたときのデフォルトパスとは異なります。

すべてのファイルを元の証明書パス/ etc / letsencryptの下にパッケージ化し、新しいクラスターのNginxマシンの同じパスにアップロードしてから、certbot certificates証明書確認を使用して古い証明書を確認し
ここに画像の説明を挿入
certbot renewコマンドを使用して証明書を更新しました。 。

発生した問題:
ここに画像の説明を挿入
証明書を更新する
と、ドメイン名の所有権を確認するためにxxx / .well-known / acme-challenge / xxxアクセスすると接続が失敗するという、報告されたエラーが発生します。

awsによってデプロイされたnginxクラスターはドメイン名をロードバランサーにバインドするため、ロードバランサーは最初にquicのポート443のみをリッスンしました。リスニングポート80を追加した後、接続できないことを求めるプロンプトは表示されなくなり、404が返されます。エラーコード。

上記のパスにアクセスできないためと判断され、何度も試行した結果、パスが一致しませんでした。最後に、このリクエストはドメイン名の所有権を確認するためのものだと思いましたが、ドメイン名をロードバランサーにバインドしました。 、証明書を更新したサーバーではありません。、ドメイン名をサーバーIPにバインドして再実行するcertbot renewと、更新は成功します。

新しい証明書のパスが前の証明書と異なるため、nginx構成ファイルの証明書パスを次のように変更する必要があります。

ssl_certificate /etc/letsencrypt/live/you.domain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/you.domain.com/privkey.pem;

証明書を更新した後、ドメイン名をロードバランサーにバインドします

Letencrypt証明書要求の頻度制限

https://letsencrypt.org/zh-cn/docs/rate-limits/
ドメインごとに1時間ごとにアカウントごとに5回の検証失敗の制限があります。テスト環境では制限が高くなります(1時間あたり60回の検証失敗が許可
されます)登録済みドメイン名ごとに1週間に最大5つの重複証明書の制限

そのため、certbot renewコマンドを繰り返し使用すると、上限に達したというプロンプトが表示される場合があります。しばらくしてからもう一度お試しください。

結局、証明書を移行して更新しただけですが、この操作のその後の更新にはまだ問題があり(ドメイン名は対応するサーバーIPにバインドする必要があります)、さらに厄介です。
フォローアップは引き続き調査され、適切な解決策があればブログが更新されます。同様の問題に対処したことがある場合は、それを共有できます

支配资料:
Red Hat Enterprise Linux(RHEL)へのスナップのインストールCentOS / RHEL8では
上記のいずれでもない

おすすめ

転載: blog.csdn.net/qq_35448165/article/details/109010978
おすすめ
TIOBE 5 月リスト: Fortran がトップ 10 に「復活」
GCC 14.1 发布
ランキング
Linuxの一般的なコマンドの緊急対応
FPGAの設計者は、5つの基本的なスキルです
Javaの研究では、2019年6月12日ノート
Golang底层原理剖析之内存逃逸
VIM - Viは、プログラマーのテキストエディタを改善しました
魔法書(MagicTable)入門チュートリアルは、CADの一括転送複数のテーブルExcelをExcelを回し--CAD
mockitoとの望ましくないモック
EVE-NG MPLS L2VPN BGP pw -- スタティック ルート、スタティック mpls lsp
抵抗性タッチスクリーンドライバ(II)
PHP 安装扩展 Api Version 和扩展extensions路径不匹配的问题
アーカイブ
もっと
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(35)
2024-04-29(5)

コードワールド

© 2018 codetd.com