12 9 6 3
just a phper
基于dnspod下申请【let's encrypt】免费的ssl证书,安装&自动更新&同步到七牛融合cdn

【let's encrypt】的安装&自动更新&同步到七牛融合cdn

前言

目前,let's encrypt 能申请到支持泛域名的免费ssl证书
但免费的证书有效期为3个月,过期后再次申请就可以了

思路

1、申请证书使用的是 certbot,这是官方推荐的方式(必须有shell权限)
2、申请证书时,需要域名所有人权限校验,通过增加指定的txt记录来校验,可以手动操作,
也可以调dnspod提供的接口实现自动化
3、申请到证书之后,假设有用到七牛云融合cdn,需要同步证书
(当然也可以单独为cdn域名申请免费一年的证书,好处在于无须频繁更新)

实现

官方推荐使用certbot,正想安装的时候,意外发现,有个非常好用的脚本,
certbot-auto
这个脚本实现了自更新,自动安装certbot, 当然最主要的是申请证书

首先下载certbot-auto ,赋予权限
然后申请证书 :

手动申请 :

./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory -d "*.wzs.cc" --manual --preferred-challenges dns-01 certonly

按提示操作
request-ssl
域名解析增加提示的txt记录
然后 ,等待1分钟左右,按回车即可生成证书
certbot-got
如果提示申请失败,大多是txt没有更新导致的,可以适当延长等待时间

自动申请:
自动申请需要自动添加域名txt记录,这里可以调dnspod提供的接口,
详情参考 dnspod接口文档
做成以下脚本

#!/bin/bash

#
# Create: certbot certonly --manual --preferred-challenges dns-01 --email mail@domain.com -d laravel.run -d *.laravel.run --server https://acme-v02.api.letsencrypt.org/directory --manual-auth-hook /path/to/certbot-auth-dnspod.sh
# Renew:  certbot renew --manual-auth-hook /path/to/certbot-auth-dnspod.sh
#

# https://www.dnspod.cn/console/user/security
API_TOKEN="xxx,xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

USER_AGENT="AnDNS/1.0.0 (admin@wzs.cc)"
DOMAIN=$(expr match "$CERTBOT_DOMAIN" '.*\.\(.*\..*\)')
[ -z "$DOMAIN" ] && DOMAIN="$CERTBOT_DOMAIN"

if [ -z "$API_TOKEN" ]; then
    [ -f /etc/dnspod_token_$DOMAIN ] && API_TOKEN=$(cat /etc/dnspod_token_$DOMAIN)
fi

if [ -z "$API_TOKEN" ]; then
    [ -f /etc/dnspod_token ] && API_TOKEN=$(cat /etc/dnspod_token)
fi

if [ -z "$API_TOKEN" ]; then
    API_TOKEN="$DNSPOD_TOKEN"
fi

PARAMS="login_token=$API_TOKEN&format=json"

echo "\
CERTBOT_DOMAIN: $CERTBOT_DOMAIN
DOMAIN:         $DOMAIN
VALIDATION:     $CERTBOT_VALIDATION"
#echo "PARAMS:         $PARAMS"

if [ -f /tmp/CERTBOT_$CERTBOT_DOMAIN/VALIDATION ]; then
    VALIDATION_PRE=$(cat /tmp/CERTBOT_$CERTBOT_DOMAIN/VALIDATION)
    if [ "$CERTBOT_VALIDATION" = "$VALIDATION_PRE" ]; then
        echo "Same Validation: $CERTBOT_VALIDATION"
        exit
    fi
fi

RECORDS=$(curl -s -X POST "https://dnsapi.cn/Record.List" \
    -H "User-Agent: $USER_AGENT" \
    -d "$PARAMS&domain=$CERTBOT_DOMAIN&keyword=_acme-challenge" \
| python -c "import sys,json;ret=json.load(sys.stdin);print(ret.get('records',[{}])[0].get('id',ret.get('status',{}).get('message','error')))")

echo "\
RECORDS:        $RECORDS"

sleep 3

if [ -n "$RECORDS" ]; then
    RECORD_ID="$RECORDS"
    RECORD_ID=$(curl -s -X POST "https://dnsapi.cn/Record.Modify" \
        -H "User-Agent: $USER_AGENT" \
        -d "$PARAMS&domain=$CERTBOT_DOMAIN&sub_domain=_acme-challenge&record_type=TXT&value=$CERTBOT_VALIDATION&record_line=默认&record_id=$RECORD_ID" \
    | python -c "import sys,json;ret=json.load(sys.stdin);print(ret.get('record',{}).get('id',ret.get('status',{}).get('message','error')))")
else
    RECORD_ID=$(curl -s -X POST "https://dnsapi.cn/Record.Create" \
        -H "User-Agent: $USER_AGENT" \
        -d "$PARAMS&domain=$CERTBOT_DOMAIN&sub_domain=_acme-challenge&record_type=TXT&value=$CERTBOT_VALIDATION&record_line=默认" \
    | python -c "import sys,json;ret=json.load(sys.stdin);print(ret.get('record',{}).get('id',ret.get('status',{}).get('message','error')))")
fi

echo "\
RECORD_ID:      $RECORD_ID"

# Save info for cleanup
if [ ! -d /tmp/CERTBOT_$CERTBOT_DOMAIN ]; then
    mkdir -m 0700 /tmp/CERTBOT_$CERTBOT_DOMAIN
fi
echo $DOMAIN > /tmp/CERTBOT_$CERTBOT_DOMAIN/DOMAIN
echo $RECORD_ID > /tmp/CERTBOT_$CERTBOT_DOMAIN/RECORD_ID
echo $CERTBOT_VALIDATION > /tmp/CERTBOT_$CERTBOT_DOMAIN/VALIDATION

# Sleep to make sure the change has time to propagate over to DNS
sleep 25

通过--manual-auth-hook 参数调用域名鉴权,通过--post-hook 参数指定申请证书后续任务
最终的shell:

/data/certbot/certbot-auto renew --manual-auth-hook /data/certbot/certbot-auth-dnspod.sh --post-hook "nginx -s reload"

虽然证书可以无限次申请,但这种福利就要珍惜,不要频繁调用,
以免对let's encrypt 增加不必要的服务器压力,
可以通过 crontab 来管理

30 5 12,24 * * /data/certbot/certbot-auto renew --manual-auth-hook /data/certbot/certbot-auth-dnspod.sh --post-hook "nginx -s reload" >> /data/certbot/renew.log 2>&1 &

最后一步就是要把 申请到的新证书 ,同步到七牛云融合cdn上

参考官方文档 qiniu api

做成以下脚本 :
【由于时间关系,未完待续】

自由转载-非商用-非衍生-保持署名(创意共享3.0许可证
评论