背景:

最近本站的ssl证书又过期了需要更新,于是趁此机会研究下Certbot自动续期,实现ssl证书自动更新;

环境:

操作系统:ubuntu 22.04 LTS

步骤记录:

1.安装certbot(使用apt安装)

使用以下命令安装

1
2
sudo apt-get update
sudo apt-get install certbot

2.插件选择

目前certbot常用的自动续期方式有两种,一种是使用certbot-nginx插件的方式,一种是使用dns服务商插件的方式;第一种方式不支持泛域名,如果需要申请支持泛域名的ssl证书的话,只能选择第二种方式;

3.nginx插件方式(不支持泛域名)

3.1 安装nginx插件

1
sudo apt install certbot python3-certbot-nginx

打开nginx.conf,在你的站点配置中添加ACME挑战路径处理模块

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
server {
    listen 80;
    server_name demo.cyanfish.site;

    # 添加 ACME 挑战路径处理
    location ^~ /.well-known/acme-challenge/ {
        default_type "text/plain";
        root /var/www/letsencrypt;
    }

    # 其他请求重定向到 HTTPS
    location / {
        return 301 https://$host$request_uri;
    }
}

# HTTPS 配置
server {
    listen 443 ssl http2;
    server_name demo.cyanfish.site;
    ssl_certificate /etc/letsencrypt/live/cyanfish.site/fullchain.pem;
    ssl_certificate_key  /etc/letsencrypt/live/cyanfish.site/privkey.pem;
    ssl_session_timeout 5m;
    ssl_session_cache shared:SSL:10m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
        root /var/www/errors;
    }

    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header Cache-Control "public, max-age=3600";

    # 代理到本地 8000 端口
    location / {
        proxy_pass http://localhost:8000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    access_log /var/log/nginx/cyanfish_access.log;
    error_log /var/log/nginx/cyanfish_error.log;
}

server {
    listen 8000;
    server_name localhost;
    charset utf-8;

    root /var/www/demoSite;
    index index.html;

    # 支持history模式前端路由
    location / {
            try_files $uri $uri/ /index.html;
    }
}

3.2 运行命令申请ssl证书

1
certbot --nginx -d your.site -d your.another.site

成功的响应:

4.dns插件申请(支持泛域名)

4.1 安装腾讯云dnspod插件( 参考插件github官网 )

1
sudo pip install git+https://github.com/tengattack/certbot-dns-dnspod.git

4.2 创建密钥配置文件目录

1
2
mkdir -p /etc/letsencrypt/dnspod
cd /etc/letsencrypt/dnspod

4.3 去dnspod创建certbot操作需要的APIid和密钥

步骤 1:登录 DNSPod 管理后台

访问 DNSPod 官网 并登录你的账户。

步骤 2:进入 API Token 管理页面

  1. 登录后,点击右上角头像,选择 安全设置
  2. 在左侧导航栏中,找到并点击 API Token

步骤 3:创建新的 API Token

  1. 点击 创建 API Token 按钮。
  2. 在弹出的对话框中,输入 Token 名称(例如:certbot),用于标识这个 Token 的用途。
  3. 阅读并勾选 同意 API Token 使用条款,然后点击 创建

4.4 使用编辑器创建一个配置文件,我这里使用的vim编辑器,将上一步申请的密钥和id填入其中

1
2
dns_dnspod_api_id = 12345
dns_dnspod_api_token = 1234567890abcdef1234567890abcdef

4.5 执行命令申请证书

-d example.com -d “*.example.com” 表示申请一个证书同时包含根域名和泛域名

1
sudo certbot certonly -a dns-dnspod --dns-dnspod-credentials /etc/letsencrypt/dnspod/dnspod.ini -d example.com -d "*.example.com"

4.6 等待控制台输出,成功的响应如下:

image-20250604161918568

4.7 修改nginx配置,将申请的证书配置进去,以下是我的一个子站点的配置以供参考

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
#重定向到https
server {
   listen 80;
   server_name demo.cyanfish.site;

   return 301 https://$host$request_uri;
}

#https配置
server {
    listen 443 ssl http2;
    server_name demo.cyanfish.site;
    ssl_certificate /etc/letsencrypt/live/cyanfish.site/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/cyanfish.site/privkey.pem;
    ssl_session_timeout 5m;
    ssl_session_cache shared:SSL:10m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
        root /var/www/errors;
    }

    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header Cache-Control "public, max-age=3600";

    # 代理到本地 8000 端口
    location / {
        proxy_pass http://localhost:8000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    access_log /var/log/nginx/cyanfish_access.log;
    error_log /var/log/nginx/cyanfish_error.log;

}

server {
   listen 8000;
   server_name localhost;
   charset utf-8;

   root /var/www/demoSite;
   index index.html;

   # 支持history模式前端路由
   location / {
        try_files $uri $uri/ /index.html;
   }
}

4.8 重启nginx

1
sudo systemctl reload nginx

5.CDN配置

如果使用了cdn,需要在cdn中配置我们生成的ssl证书,将刚刚生成的两个文件中的内容复制到ssl证书配置的文本框里点击保存应用即可;

参考文章:

https://lesofn.com/archives/certbot_certificate