长亭百川云

更新方式

参考文档 更新雷池

更新内容

优化

• 调整 syslog 外发攻击日志的内容，本次更新不再外发 Body 字段
  • 优化部分超长 syslog 字段外发被截断情况
• 黑白名单检测日志列表优化：增加【规则名称】字段
  

现在雷池waf的上游服务器如果直接使用容器名称会提示上游服务器访问状态异常。希望雷池可以兼容直接使用容器名访问。该功能非常重要，可以很好的解决docker容器网络ip问题，方便更好的处理容器代理。

只要加入safeline-ce网络后就可以直接让雷池waf访问到上游服务器。如果safeline-ce应当作为雷池内部网络，那么建议可以由雷池官方创建一个类似于www的网络专门用于防护应用加入。雷池本身也支持静态站点托管，这个功能应该符合雷池现有的功能设计。

最新版本9.2.7数据库版本不postgresql15.2,建议升级数据库版本到17，性能更好！

能否对ASN进行封禁，这样对于网站后台等业务可以直接对一些IDC以及海外的ASN封禁，而防火墙每周对ASN对应的IP段进行更新即可。

certd（一个轻量级 ACME 证书管理工具，支持 Let's Encrypt）创建自动化证书申请与续期的流水线，并自动更新 雷池 WAF（SafeLine/Chaitin 社区版）证书的完整指南。整个流程基于 certd 的 daemon 模式 + post-hook 机制实现自动化（无需 CI/CD 平台，每日自动检查续期）。

前提条件

• Linux 服务器（推荐 Ubuntu/Debian/CentOS），已安装 Docker（雷池 WAF 部署）。
• 雷池 WAF 已部署（Docker Compose 方式），证书目录挂载为卷，例如：

  1volumes:
  2  - safeline_nginx_ssl:/opt/safeline/nginx/ssl  # 雷池 Nginx SSL 目录

  默认证书路径：/opt/safeline/nginx/ssl/{domain}.pem 和 {domain}-key.pem。
• 域名已解析到服务器 IP（HTTP-01 验证需 80 端口开放，或 DNS-01）。
• root 或 sudo 权限。

步骤 1: 安装 certd

1# 下载最新版（x86_64 Linux）
2curl -Lo certd https://github.com/longyun-cui/certd/releases/latest/download/certd-linux-amd64
3chmod +x certd
4sudo mv certd /usr/local/bin/
5certd version  # 验证

步骤 2: 创建 certd 配置文件

创建 /etc/certd/config.yaml：

1global:
2  email: "your-email@example.com"  # Let's Encrypt 联系邮箱
3  directory: "https://acme-v02.api.letsencrypt.org/directory"  # 生产环境
4  # directory: "https://acme-staging-v02.api.letsencrypt.org/directory"  # 测试环境
5
6certificates:
7  - domain: "waf.example.com"  # 替换为你的域名（支持多域名：domains: [waf.example.com, www.example.com]）
8    provider: "nginx"  # 或 "standalone"（需停止 Nginx）、"docker"
9    challenge: "http-01"  # 或 "dns-01"（需配置 DNS API，如阿里云/Cloudflare）
10    # dns-01 示例（可选）：
11    # dns:
12    #   provider: "cloudflare"
13    #   api_token: "your-cloudflare-api-token"
14    post-hook: |
15      # 更新雷池 WAF 证书
16      docker cp {{CertFile}} safeline-nginx:/opt/safeline/nginx/ssl/{{EnvName}}.pem
17      docker cp {{KeyFile}} safeline-nginx:/opt/safeline/nginx/ssl/{{EnvName}}-key.pem
18      docker exec safeline-nginx nginx -s reload
19      echo "证书已更新到雷池 WAF: {{Domain}}"
20    # pre-hook（可选，http-01 时停止 Nginx 验证）：
21    # pre-hook: "docker stop safeline-nginx"
22    # post-hook: "docker start safeline-nginx"

• 关键解释：
  • {{CertFile}}、{{KeyFile}}、{{Domain}}、{{EnvName}} 是 certd 模板变量，自动替换。
  • safeline-nginx 是雷池 Nginx 容器的名称（docker ps 查看）。
  • post-hook 在证书申请/续期后自动执行，复制证书并重载 Nginx（无 downtime）。

步骤 3: 测试证书申请

1sudo certd run --config /etc/certd/config.yaml

• 成功后，证书保存在 /var/lib/certd/{domain}/（fullchain.pem 和 privkey.pem）。
• 检查雷池：docker exec -it safeline-nginx ls /opt/safeline/nginx/ssl/，确认证书文件存在。
• 浏览器访问 https://waf.example.com，验证证书。

步骤 4: 设置自动化流水线（Daemon 模式 + Systemd）

certd 支持 daemon 模式，每日自动检查续期（Let's Encrypt 证书有效期 90 天）。

1. 创建 systemd 服务 /etc/systemd/system/certd.service：

   1[Unit]
   2Description=certd ACME Certificate Manager
   3After=network.target docker.service
   4
   5[Service]
   6Type=simple
   7ExecStart=/usr/local/bin/certd daemon --config /etc/certd/config.yaml
   8Restart=always
   9RestartSec=5
   10
   11[Install]
   12WantedBy=multi-user.target

2. 启用并启动：

   1sudo systemctl daemon-reload
   2sudo systemctl enable certd
   3sudo systemctl start certd
   4sudo systemctl status certd  # 查看日志

3. 日志查看：

   1journalctl -u certd -f

步骤 5: 雷池 WAF 配置优化

• 编辑雷池 Nginx 配置（/opt/safeline/nginx/conf.d/default.conf，容器内）：

  ssl_certificate /opt/safeline/nginx/ssl/waf.example.com.pem;
  ssl_certificate_key /opt/safeline/nginx/ssl/waf.example.com-key.pem;
  

• 重载：docker exec safeline-nginx nginx -t && docker exec safeline-nginx nginx -s reload。
• 雷池面板（默认 9443 端口）中检查 HTTPS 配置，确保使用新证书。

常见问题排查

监控与扩展

• 添加 webhook 到 post-hook：curl -X POST https://monitor.example.com/callback -d "cert renewed: {{Domain}}"。
• cron 备选（无 systemd）：0 2 * * * /usr/local/bin/certd run --config /etc/certd/config.yaml。
• 官方文档：certd GitHub，雷池 GitHub。

此流水线零维护，证书自动续期并无缝更新 WAF。测试通过后上线生产！如果有具体错误日志，提供更多细节我帮 debug。

4xx拦截统计会出现超过100%