当前位置: 首页 > article >正文

阿里云服务器采用crontab定时任务使acme.sh全自动化申请续签免费SSL证书,并部署在Linux宝塔网站和雷池WAF

article 2025/8/29 22:39:57

阿里云服务器安装Linux宝塔面板用于部署网站,又安装了雷池WAF用于防护网站,网站访问正常。可以参考文章:Linux服务器安装Linux宝塔面板并部署wordpress网站以及雷池WAF

本文介绍使用 acme.sh 通过 DNS API 全自动申请和续签免费Let’s Encrypt SSL 证书,本文只做单域名详细介绍。

一、安装 acme.sh

1.使用SSH远程登陆阿里云服务器,本文以root账户登陆介绍,your_email@example.com替换成自己邮箱即可。

# 使用一键脚本安装
curl https://get.acme.sh | sh -s email=your_email@example.com

在这里插入图片描述
从上面可以看到acme.sh安装到了路径/root/.acme.sh/acme.sh

2.重新加载环境变量和切换CA证书类型

# 重新加载环境变量
source ~/.bashrc#  CA证书类型默认使用ZeroSSL,切换成Let's Encrypt
acme.sh --set-default-ca --server letsencrypt

3.安装成功后,终端输入acme.sh -h便可以看到帮助命令。

二、配置阿里云DNS API

1.通过阿里云服务器提供的API,让acme.sh自动创建域名验证记录以申请域名证书。首先登陆阿里云控制台 - 访问控制 RAM - 身份管理 - 用户 - 创建用户

在这里插入图片描述
2.填写登录名称,勾选使用永久AccessKey访问,确定
在这里插入图片描述

在这里插入图片描述
完成后,分别复制AccessKey IDAccessKey Secret的值,保存并一定做好备份!

3.按照下图,选中这个用户,点击下方的添加权限。搜索DNS,选择AliyunDNSFullAccess点击确认添加权限
在这里插入图片描述
4.在终端中配置环境变量(复制到终端中执行):

export Ali_Key="LTAI5txxxxxxxxxxxxx"
export Ali_Secret="TJHStNFrxxxxxxxxxxxxxxxxxxx"
三、申请SSL证书

本文只介绍单域名证书申请命令:(本例演示域名:www.test.com,使用时替换为自己域名即可。)

/root/.acme.sh/acme.sh --issue --dns dns_ali -d www.test.com

命令解析

  • /root/.acme.sh/acme.sh:这是 acme.sh 客户端的安装路径。通常情况下,acme.sh 会安装在用户的主目录下的 .acme.sh 文件夹中。
  • --issue:表示申请证书。
  • --dns dns_ali:指定使用阿里云的 DNS API 来验证域名所有权。dns_aliacme.sh 内置的阿里云 DNS 插件。
  • -d www.test.com:指定要申请证书的域名, 本例演示域名:www.test.com,使用时替换为自己域名即可。
四、部署SSL证书到Web服务器(Linux宝塔面板)

存放acme申请签发的SSL证书目录(root账户的家目录是/root),acme默认安装路径/root/.acme.sh/acme.sh
SSL证书默认存储在 ~/.acme.sh/www.test.com_ecc/,用root账户登陆,所以SSL证书默认存储在/root/.acme.sh/www.test.com_ecc/,
acme申请签发的SSL证书-密钥(KEY)文件路径: /root/.acme.sh/www.test.com_ecc/www.test.com.key;acme申请签发的SSL证书-证书(cer)文件路径: /root/.acme.sh/www.test.com_ecc/fullchain.cer

但需手动执行命令复制到Web 服务器目录。

注意:确保证书存放的目录已创建

在部署SSL证书之前,我们首先要确定原有ssl证书的位置。一般在你的nginx配置文件中,登陆Linux宝塔面板后台可以查看:

在这里插入图片描述

可以看到ssl证书的路径:(本例演示域名:www.test.com68.162.x.x是服务器IP,也是网站根目录名称。)

ssl_certificate    /www/server/panel/vhost/cert/68.162.x.x/fullchain.pem;
ssl_certificate_key    /www/server/panel/vhost/cert/68.162.x.x/privkey.pem;

所以部署SSL证书到 Web 服务器(Linux宝塔面板)命令如下:

/root/.acme.sh/acme.sh --install-cert -d www.test.com \
--key-file "/www/server/panel/vhost/cert/68.162.x.x/privkey.pem"  \
--fullchain-file "/www/server/panel/vhost/cert/68.162.x.x/fullchain.pem" \
--reloadcmd "service nginx force-reload"

这段命令是用于安装 SSL 证书的,具体是通过 acme.sh 脚本将 Let’s Encrypt 颁发的 SSL 证书安装到指定的路径,并重新加载 Nginx 服务以使证书生效。以下是命令的详细解释:

命令解析

  1. /root/.acme.sh/acme.sh --install-cert -d www.test.com

    • /root/.acme.sh/acme.sh:指定 acme.sh 脚本的路径。acme.sh 是一个用于自动化申请和管理 Let’s Encrypt SSL 证书的工具。
    • --install-cert:表示安装证书。
    • -d www.test.com:指定需要安装证书的域名,这里是 www.test.com,本例演示域名:www.test.com,使用时替换为自己域名即可。

  2. --key-file "/www/server/panel/vhost/cert/68.162.x.x/privkey.pem"

    • --key-file:指定私钥文件的路径。
    • "/www/server/panel/vhost/cert/68.162.x.x/privkey.pem":私钥文件的完整路径。privkey.pem 是 Let’s Encrypt 颁发的私钥文件。

  3. --fullchain-file "/www/server/panel/vhost/cert/68.162.x.x/fullchain.pem"

    • --fullchain-file:指定证书链文件的路径。
    • "/www/server/panel/vhost/cert/68.162.x.x/fullchain.pem":证书链文件的完整路径。fullchain.pem 是包含证书和中间证书的文件。

  4. --reloadcmd "service nginx force-reload"

    • --reloadcmd:指定在证书安装完成后需要执行的命令。
    • "service nginx force-reload":强制重新加载 Nginx 服务,使 SSL 证书生效。
五、部署SSL证书到雷池WAF

雷池WAF的默认SSL证书目录/data/safeline/resources/nginx/certs,雷池WAF安装SSL证书,要求WAF版本 >= 7.2.0,获取证书后覆盖上述文件即可,WAF定时更新:WAF默认每小时刷新一次证书内容

在这里插入图片描述

可以参考雷池WAF官方给出的说明:如何在雷池 WAF 通过文件更新 SSL 证书

所以部署SSL证书到雷池WAF命令如下:

cp /root/.acme.sh/www.test.com_ecc/fullchain.cer /data/safeline/resources/nginx/certs/cert_1.crt
cp /root/.acme.sh/www.test.com_ecc/www.test.com.key /data/safeline/resources/nginx/certs/cert_1.key
六、使用Linux shell写成全自动执行脚本

经过前面五个步骤,可以成功更新SSL证书了。但是手动执行命令繁琐,经过多次实际测试调试脚本,我们可以使用Linux Shell脚本acme_deploy_ssl.sh实现全自动化申请续签免费SSL证书,并部署在Linux宝塔网站和雷池WAF。

只需要修改前面2个变量WEB_DOMAIN和WEB_ROOT_NAME值

==================================================

#网站申请SSL证书的域名(www.test.com替换成自己实际域名即可
WEB_DOMAIN=“www.test.com”
#网站根目录名称(68.162.x.x替换成自己实际网站根目录名称即可
WEB_ROOT_NAME=“68.162.x.x”

==================================================

acme_deploy_ssl.sh脚本如下:

#功能:acme.h自动申请签发SSL证书,Linux宝塔网站和雷池WAF更新SSL证书的shell脚本
#!/bin/bash#网站申请SSL证书的域名(www.test.com替换成自己实际域名即可)
WEB_DOMAIN="www.test.com"
#网站根目录名称(68.162.x.x替换成自己实际网站根目录名称即可)
WEB_ROOT_NAME="68.162.x.x"#1.存放acme申请签发的SSL证书目录(root账户的家目录是/root),acme默认安装路径/root/.acme.sh/acme.sh
#2.acme申请签发的SSL证书-密钥(KEY)文件,Your cert key is in: /root/.acme.sh/www.test.com_ecc/www.test.com.key
#3.acme申请签发的SSL证书-证书(cer)文件,And the full-chain cert is in: /root/.acme.sh/www.test.com_ecc/fullchain.cer
CERT_DIR="/root/.acme.sh/${WEB_DOMAIN}_ecc"
#Linux宝塔面板的SSL证书目录
BT_SSL_DIR="/www/server/panel/vhost/cert"
#雷池WAF的默认SSL证书目录
WAF_SSL_DIR="/data/safeline/resources/nginx/certs"cd ~current_datetime=$(date "+%Y-%m-%d %H:%M:%S")
echo "$current_datetime acme开始申请签发SSL证书......"#acme申请签发SSL证书
/root/.acme.sh/acme.sh --issue --dns dns_ali -d "$WEB_DOMAIN"sleep 15 #延时15s#判断acme是否申请签发SSL证书成功?
if [ -f "$CERT_DIR/fullchain.cer" ] && [ -f "$CERT_DIR/${WEB_DOMAIN}.key" ]; thencurrent_datetime_1=$(date "+%Y-%m-%d %H:%M:%S")current_datetime_2=${current_datetime_1//:/-}current_datetime_2=${current_datetime_2// /_}echo "$current_datetime_1 acme申请签发SSL证书成功"#Linux宝塔面板安装SSL证书/root/.acme.sh/acme.sh --install-cert -d "$WEB_DOMAIN" \--key-file "$BT_SSL_DIR/$WEB_ROOT_NAME/privkey.pem"  \--fullchain-file "$BT_SSL_DIR/$WEB_ROOT_NAME/fullchain.pem" \--reloadcmd "service nginx force-reload"current_datetime_1=$(date "+%Y-%m-%d %H:%M:%S")echo "$current_datetime_1 Linux宝塔网站更新SSL证书成功"sleep 10 #延时10s#雷池WAF安装SSL证书,要求WAF版本 >= 7.2.0,获取证书后覆盖上述文件即可,WAF默认每小时刷新一次证书内容cp "$CERT_DIR/fullchain.cer" "$WAF_SSL_DIR/cert_1.crt"cp "$CERT_DIR/${WEB_DOMAIN}.key" "$WAF_SSL_DIR/cert_1.key"current_datetime_1=$(date "+%Y-%m-%d %H:%M:%S")echo "$current_datetime_1 雷池WAF更新SSL证书成功"#备份,重命名acme申请签发的SSL证书文件mv "$CERT_DIR/fullchain.cer" "$CERT_DIR/${current_datetime_2}_fullchain.pem"mv "$CERT_DIR/${WEB_DOMAIN}.key" "$CERT_DIR/${current_datetime_2}_${WEB_DOMAIN}.key"
elsecurrent_datetime=$(date "+%Y-%m-%d %H:%M:%S")echo "$current_datetime acme申请签发SSL证书失败"
fisleep 30 #30s后关闭脚本
exit 0
七、Linux Shell脚本acme_deploy_ssl.sh上传到云服务器测试

1.使用FileZilla远程上传工具,把Linux Shell脚本acme_deploy_ssl.sh上传到云服务器的家目录~下:/root,使用命令ls -l查看下/root目录下文件及权限。

在这里插入图片描述
使用下面命令给acme_deploy_ssl.sh文件添加执行权限

chmod +x acme_deploy_ssl.sh


chmod 755 acme_deploy_ssl.sh

再次使用命令ls -l查看下acme_deploy_ssl.sh文件已有执行权限。

3.使用下面命令运行acme_deploy_ssl.sh

./acme_deploy_ssl.sh

在这里插入图片描述

在这里插入图片描述
可以看到acme.h申请签发SSL证书,并把SSL证书部署到Linux宝塔面板和雷池WAF的运行过程。

4.登陆Linux宝塔面板,查看SSL证书到期时间,已成功续签SSL证书

在这里插入图片描述
5.登陆雷池WAF,查看SSL证书到期时间,已成功续签SSL证书
在这里插入图片描述

八、添加crontab定时任务实现无人自动部署

如果我们使用 curl https://get.acme.sh | sh 方式安装,默认续期任务会自动在定时任务中配置。一定要注释掉acme.h默认续期任务,添加自己的续期任务。

#设置每月执行一次的续期定时任务(每月第一天)
0 0 1 * * /root/acme_deploy_ssl.sh &>> /root/.acme.sh/acme_ssl.log

关于crontab定时任务知识可以参考文章:

Linux系统通过编辑crontab来设置定时任务—定时关机

http://www.lryc.cn/news/2391886.html

相关文章:

  • day40 python图像数据与显存
  • Python+VR:如何让虚拟世界更懂你?——用户行为分析的实践
  • 【华为鸿蒙电脑】首款鸿蒙电脑发布:MateBook Fold 非凡大师 MateBook Pro,擎云星河计划启动
  • 性能优化深度实践:突破vue应用性能
  • 服务器定时任务查看和编辑
  • SpringBoot Controller接收参数方式, @RequestMapping
  • double怎么在c/c++中输出保留输出最小精度为一位
  • 端午节互动网站
  • [特殊字符] NAT映射类型详解:从基础原理到应用场景全解析
  • react-color-palette源码解析
  • 在 Ubuntu 上安装 NVM (Node Version Manager) 的步骤
  • 重温经典算法——插入排序
  • 在VirtualBox中打造高效开发环境:CentOS虚拟机安装与优化指南
  • 塔能科技:为多行业工厂量身定制精准节能方案
  • 【实证分析】上市公司全要素生产率+5种测算方式(1999-2024年)
  • 弥散制氧机工作机制:高原低氧环境的氧浓度重构技术
  • [Python] 避免 PyPDF2 写入 PDF 出现黑框问题:基于语言自动匹配系统字体的解决方案
  • 《基于Keepalived+LVS+Web+NFS的高可用集群搭建》
  • RabbitMQ搭建集群
  • 时间序列预测算法中的预测概率化笔记
  • 2025-05-28 Python深度学习8——优化器
  • 篇章二 数据结构——前置知识(二)
  • 如果是在服务器的tty2终端怎么查看登陆服务器的IP呢
  • Java求职面试:从核心技术到AI与大数据的全面考核
  • ubuntu24.04与ubuntu22.04比,有什么新特性?
  • Flutter Container组件、Text组件详解
  • Telegram平台分发其聊天机器人Grok
  • STM32 定时器输出比较深度解析:从原理到电机控制应用 (详解)
  • 用 NGINX 还原真实客户端 IP ngx_mail_realip_module
  • Mysql中索引B+树、最左前缀匹配