轻松守护网站安全，Certbot实现HTTPS证书自动化管理

这是一个分享运维，DevOps，安全等知识的微信公众号。王先森 Sec

引言

在当今互联网环境中，网站的安全性越来越受到重视。HTTPS 作为一种能够提供加密通信和验证网站真实性的协议，已经成为网站安全的基本标准。然而，许多平台提供的 HTTPS 证书往往有有效期限制，比如腾讯云等平台目前提供的证书只有3个月的有效期。这不仅增加了证书管理的复杂性，还可能因为证书过期而导致网站访问中断。

为了解决这个问题，我们可以使用Certbot
这个强大的工具来自动申请和管理 HTTPS 证书。Certbot
是一个开源软件，它可以通过自动化的方式从Let's Encrypt
等证书颁发机构（CA）
获取和安装 HTTPS 证书。更重要的是，这些证书是免费的，并且可以通过自动续订来保持长期有效。Certbot
支持多种服务器和平台，包括Apache
、Nginx
等。

为什么选择Certbot？

1. 自动化：Certbot 可以自动申请、安装和更新证书，无需手动干预。

2. 免费：Let's Encrypt 提供的证书完全免费。

3. 安全：使用 HTTPS 加密网站流量，保护用户数据安全。

4. 兼容性：广泛支持各种操作系统和Web服务器。

5. 社区支持：拥有活跃的社区和丰富的文档资源。

如何使用Certbot申请HTTPS证书？

首先，你需要在服务器上安装 Certbot
。具体安装方法取决于你使用的操作系统和Web服务器软件。你可以访问Certbot的官方网站 https://certbot.eff.org/ 获取详细的安装指南。

步骤1：安装snap

官方推荐使用snap客户端安装cerbot客户端，对于CentOS
系统，可以使用以下命令：

yum -y install epel-release           #安装依赖  
yum -y install snapd     #安装snap  
systemctl enable --now snapd.socket  #启动snap通信套接字  
ln -s /var/lib/snapd/snap /snap   #创建如下软连接，为了启用classic snap的支持

如果少一步，安装cerbot会报错。如：没有创建软连接，在安装cerbob报以下错误；error: cannot install “certbot”: classic confinement requires snaps under /snap or symlink from /snap to /var/lib/snapd/snap

步骤2：安装Certbot

# 如果之前装过certbot的话要先卸载  
sudo yum remove certbot  
  
# 安装Certbo  
snap install --classic certbot  
  
# 配置Certbot命令行，执行如下命令以确保Certbot命令行可用  
ln -s /snap/bin/certbot /usr/bin/certbot

注意：若出现error: cannot communicate with server: Post http://localhost/v2/snaps/snap-store: dial un，尝试重启snap

systemctl restart snapd.service

步骤3：选择插件

Certbot支持多种Web服务器插件。例如，如果您使用的是Nginx，可以使用nginx插件（二选一）：

• 运行此命令获取证书，并让 Certbot 自动编辑 Nginx 配置以提供服务，只需一步即可打开HTTPS访问：

  certbot --nginx
  

  **注：Certbot默认 nginx配置文件在 /etc/nginx/nginx.conf或 /usr/local/etc/nginx/nginx.conf，若你的nginx配置文件不在此处（以/usr/local/nginx/conf/nginx.conf为例），需在命令后加上 --nginx-server-root /usr/local/nginx/conf.
  **若出现The nginx plugin is not working; there may be problems with your existing configuration.，说明Nginx未安装，如已安装使用下面命令加入环境变量。由于没有将nginx放到环境变量中，设置nginx软连接

  ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx  
  ln -s /usr/local/nginx/conf/ /etc/nginx
  

• 仅获得证书。如果你希望手动配置nginx，输入如下命令(推荐)：

  $ certbot certonly --nginx --nginx-ctl /application/nginx-1.24/sbin/nginx --nginx-server-root /application/nginx-1.24/conf/  
    
  Saving debug log to /var/log/letsencrypt/letsencrypt.log  
  Enter email address (used for urgent renewal and security notices)  
   (Enter 'c' to cancel): [这里输入你的邮箱]  
    
  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -  
  Please read the Terms of Service at  
  https://letsencrypt.org/documents/LE-SA-v1.3-September-21-2022.pdf. You must  
  agree in order to register with the ACME server. Do you agree?  
  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -  
  (Y)es/(N)o: Y  
    
  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -  
  Would you be willing, once your first certificate is successfully issued, to  
  share your email address with the Electronic Frontier Foundation, a founding  
  partner of the Let's Encrypt project and the non-profit organization that  
  develops Certbot? We'd like to send you email about our work encrypting the web,  
  EFF news, campaigns, and ways to support digital freedom.  
  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -  
  (Y)es/(N)o: Y [选Y 继续]  
  Account registered.  
    
  Which names would you like to activate HTTPS for?  
  We recommend selecting either all domains, or all domains in a VirtualHost/server block.  
  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -  
  1: chat.boysec.cn  
  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -  
  Select the appropriate numbers separated by commas and/or spaces, or leave input  
  blank to select all options shown (Enter 'c' to cancel):  [这里不需要输入，回车选所有]  
  Requesting a certificate for chat.boysec.cn  
    
  Successfully received certificate.  
  Certificate is saved at:   
  # [这里告诉我们生成的文件路径和有效期]  
  /etc/letsencrypt/live/chat.boysec.cn/fullchain.pem  
  Key is saved at:         /etc/letsencrypt/live/chat.boysec.cn/privkey.pem  
  This certificate expires on 2024-09-25.  
  These files will be updated when the certificate renews.  
  Certbot has set up a scheduled task to automatically renew this certificate in the background.  
    
  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -  
  If you like Certbot, please consider supporting our work by:  
   * Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate  
   * Donating to EFF:                    https://eff.org/donate-le  
  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  

步骤4：修改Nginx配置

server {  
    listen       80;  
    server_name  chat.boysec.com;  
    return 302 https://chat.boysec.com;  
}  
server {  
    #监听443端口  
    listen 443 ssl;  
    #对应的域名，空格分隔域名就可以了  
    server_name   chat.boysec.com;  
    #证书相关配置  
    ssl_ciphers           HIGH:!aHULL:!MD5:!DES:!DES3;  
    ssl_certificate       /etc/letsencrypt/live/chat.boysec.com/fullchain.pem;  
    ssl_certificate_key   /etc/letsencrypt/live/chat.boysec.com/privkey.pem;  
    ssl_session_cache     shared:SSL:10m;  
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  
    ......  
}

查看网站签发证书：

配置自动续签

虽然是免费的，但certbot只有90天的有效期，但它有自动续期的命令，无需再次运行certbot重新签证书。通过运行以下命令，可以测试证书的续订是否正常。

certbot renew --dry-run

如果没有报错，则自动续期命令是正常运行的。

最后所以我们设置个定时任务，让这个续期命令到期自动执行。用certbot renew --force-renewal
强制续签，否则没到期，无法续签的。

#进入编辑定时任务

crontab -e   
#添加以下，每隔三个月的，凌晨1点0分，强制续签  
0 1 24 3,6,9,12 * /usr/bin/certbot renew --dry-run --force-renewal && /application/nginx-1.24/sbin/nginx -s reload

附加: 安装泛域名证书

certbot certonly --manual --preferred-challenges dns --nginx-ctl /application/nginx-1.24/sbin/nginx --nginx-server-root /application/nginx-1.24/conf/ -d *.boysec.com -d boysec.com

添加一条类型为text的域名解析记录 主机记录为：wangxiansen.boysec.com 值为certbot 提示生成的：arCjK1Xoi_xxxxxxxxxxxxx

验证DNS解析是否成功

nslookup -type=txt wangxiansen.boysec.com 8.8.8.8