letsencrypt证书自动续期问题

最新推荐文章于 2025-06-19 09:23:57 发布
原创 最新推荐文章于 2025-06-19 09:23:57 发布 · 2.1w 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

官方建议一天两次

0 */12 * * * certbot renew --quiet --renew-hook "/etc/init.d/nginx reload"

官方原话
Note:
if you're setting up a cron or systemd job, we recommend running it twice per day (it won't do anything until your certificates are due for renewal or revoked, but running it regularly would give your site a chance of staying online in case a Let's Encrypt-initiated revocation happened for some reason). Please select a random minute within the hour for your renewal tasks.

为什么不是90天或者5天,因为哪天重启服务器,这个crontab就会向后又延长90天导致失效
--renew-hook这个选项在证书续期成功的时候会重新载入nginx配置,如果不加就需要手动载入或者手动重启nginx,不然的话虽然续期成功了nginx没加进来也会提示过期


最新发现设置成5天是可以的,通过查看日志文件/var/log/letsencrypt发现,续期命令检测到续期时间小于30天时,会重新请求生成新证书,部分日志文件如下

2017-02-04 04:30:02,138:DEBUG:certbot.main:Root logging level set at 30
2017-02-04 04:30:02,138:INFO:certbot.main:Saving debug log to /var/log/letsencrypt/letsencrypt.log
2017-02-04 04:30:02,138:DEBUG:certbot.main:certbot version: 0.9.3
2017-02-04 04:30:02,138:DEBUG:certbot.main:Arguments: ['--quiet', '--renew-hook', '/etc/init.d/nginx reload']
2017-02-04 04:30:02,138:DEBUG:certbot.main:Discovered plugins: PluginsRegistry(PluginEntryPoint#webroot,PluginEntryPoint#null,PluginEntryPoint#manual,PluginEntryPoint#standalone)
2017-02-04 04:30:02,150:DEBUG:certbot.storage:Should renew, less than 30 days before certificate expiry 2017-03-06 04:03:00 UTC.
2017-02-04 04:30:02,150:INFO:certbot.renewal:Cert is due for renewal, auto-renewing...
2017-02-04 04:30:02,153:DEBUG:certbot.plugins.selection:Requested authenticator webroot and installer None
2017-02-04 04:30:02,154:DEBUG:certbot.plugins.selection:Single candidate plugin: * webroot
Description: Place files in webroot directory
Interfaces: IAuthenticator, IPlugin
Entry point: webroot = certbot.plugins.webroot:Authenticator
Initialized: <certbot.plugins.webroot.Authenticator object at 0x1fe8c50>
Prep: True



很多人会遇到的一个问题,crontab是不是执行的问题
建议搞个1分钟打印时间的放crontab里,这是个人感觉最有效的方法 
*/1 * * * * echo "$(date)" >>/var/log/datecron.txt

查看 
cat /var/log/datecron.txt


crontab 相关命令 
cat /var/log/cron #查看crontab日志
crontab -l #查看crontab列表
crontab -e #编辑crontab列表
systemctl status crond.service #查看crontab服务状态
systemctl restart crond.service #重启crontab

certbot renew --quiet和certbot renew区别
前一个命令不输出内容到控制台和生成日志,后一个会输出内容到控制台和生成日志
日志文件在/var/log/letsencrypt/letsencrypt.log
如果证书没有过期,那么证书不会更新
没有过期执行更新命令控制台内容如下 
[root@centos7 ~]# certbot renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log


-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/www.vvvtimes.com.conf
-------------------------------------------------------------------------------
Cert not yet due for renewal


The following certs are not due for renewal yet:
  /etc/letsencrypt/live/www.vvvtimes.com/fullchain.pem (skipped)
No renewals were attempted.

日志内容如下 
[root@centos7 ~]# cat /var/log/letsencrypt/letsencrypt.log
2016-12-06 00:18:48,448:DEBUG:certbot.main:Root logging level set at 20
2016-12-06 00:18:48,449:INFO:certbot.main:Saving debug log to /var/log/letsencrypt/letsencrypt.log
2016-12-06 00:18:48,449:DEBUG:certbot.main:certbot version: 0.9.3
2016-12-06 00:18:48,449:DEBUG:certbot.main:Arguments: []
2016-12-06 00:18:48,449:DEBUG:certbot.main:Discovered plugins: PluginsRegistry(PluginEntryPoint#webroot,PluginEntryPoint#null,PluginEntryPoint#manual,PluginEntryPoint#standalone)
2016-12-06 00:18:48,461:INFO:certbot.renewal:Cert not yet due for renewal
2016-12-06 00:18:48,461:DEBUG:certbot.renewal:no renewal failures

这个日志不是追加的,而是每条命令生成一个,上面的时间是UTC时间


为了能更快的看到效果使用吊销命令试一下( 不用试了,没有用


吊销和安装(这两个命令说明文档太少,不确定下面的命令是否能用) 
certbot revoke --cert-path cert.pem
certbot install --key-path privkey.pem --cert-path cert.pem

注意:吊销和安装命令是一对,和续期命令renew没有关系,renew只判断pem的有效期范围,超过范围才会去请求新的证书。官方文档中说吊销和过期使用renew命令都会生成证书,但实际上吊销后使用renew命令并不能生成新的证书 


certbot renew --renew-hook "/etc/init.d/nginx reload"
发现吊销之后的原来的证书还能用。。。这算什么吊销。。。


/etc/letsencrypt/live/www.vvvtimes.com/这里有4个pem 
cert.pem #公钥
privkey.pem #私钥
chain.pem #中间证书链
fullchain.pem #全证书链

/etc/letsencrypt/live/www.vvvtimes.com/ 这里的pem实际指向 /etc/letsencrypt/archive/www.vvvtimes.com/的pem


把4个pem全吊销了,install和renew都不行,pem也不让删,这个吊销实际上是个残次品
好像还有证书请求频率的限制,暂时不折腾了。


附:证书请求频率限制: https://letsencrypt.org/docs/rate-limits/



gsls200808
关注
【HTTPS】免费SSL证书配置Let‘s Encrypt自动续期
Hello, New World!
04-15 800
若需修改续期频率,需编辑 Snap 定时器的配置(需通过 Snap 命令或修改系统级定时器文件),但默认配置已足够安全(证书到期前 30 天内才会实际续期)。每 12 小时(即每天的 0 点和 12 点)执行一次 certbot renew 命令,–quiet 选项用于在执行时不输出过多信息。:服务器B修改相应的nginx ssl证书配置即可,参考服务器A。:拷贝服务器A上生成的文件到服务器B,并设置相应的权限和软连接。我在服务器B还需要拷贝证书,用于 prod 的域名。验证来申请泛域名证书
Let‘s Encrypt通配符HTTPS证书以及配置自动续约
Bertram的博客
05-23 1491
Let's Encrypt通配证书HTTPS证书及配置自动续约
Let’s Encrypt ssl 证书申请 + 自动续期
Double_wood的博客
10-25 1345
文章源地址:文章源地址 根据现在的规定,http 协议被标记为不安全,需要转换为 https 协议 本文采用 Let’s encrypt 提供的 ssl 证书,将网站升级为 https 协议,并自动更新。 一、下载 let’s encrypt service nginx stop # 关闭 nginx 服务 apt-get update add-apt-repository ppa:certbot/certbot apt-get install certbot # 申请泛域名证书需要添加 DNS 解
LetsEncrypt】ssl证书完全自动化续签
Rand Tsui
09-19 5439
ssl证书如果用到很多个,手动更新将会比较烦,并且免费的LetsEncrypt 90天就要更新一次,总不能今天更新完了,明天或下周又要更新,如果能让它自动更新岂不美哉?实践证明,这是行得通的。 首先,ssl证书我目前有2个用途,一个是自己服务器的nginx需要,nginx配置文件写好证书路径即可,每次获取到新的证书,nginx 需要重新加载配置文件,nginx -s reload。另一个用途是获取到证书之后上传给阿里云CDN使用,因为CDN开了https,上传证书通过CDN SDK的接口上传而不是手动。.
Home Assistant Let's Encrypt证书续期机制深度解析
最新发布
gitblog_07238的博客
06-19 279
Home Assistant Let's Encrypt证书续期机制深度解析 证书续期检测机制的特殊性 在Home Assistant的Let's Encrypt插件使用过程中,发现了一个值得注意的行为特征:该插件在检测证书是否需要续期时,似乎仅检查证书中第一个域名的过期状态,而非对所有包含的域名进行全面检查。这一现象在实际运维中可能导致某些特殊情况下的证书管理问题问题现象与复现 当用户配置多...
centos Let‘s Encrypt 免费https证书申请,并且自动续约
gitxuzan
10-25 3874
下载安装 cerbot。下载 snap 工具。
QUIC实战(三) letsencrypt证书申请和自动续期
qq_35448165的博客
10-11 1321
部署完QUIC集群之后,原来申请的https证书到期了,就尝试了下重新安装/更新证书。 Let’s Encrypt 是一个自动签发 https 证书的免费项目 Certbot 是 Let’s Encrypt 官方推荐的证书生成客户端工具 因为我的quic集群是直接把原来的证书复制到自定义的目录下,所以没有安装过certbot,先安装下certbot。 安装Certbot 先安装snapd,根据自己的linux系统(我的是Red Hat Enterprise Linux 8),选择对应的snapd安装教程 安
Certbot实现 HTTPS 免费证书(Let‘s Encrypt)自动续期
小小明-代码实体的专栏
12-12 7981
以前阿里云支持申请一年的免费https证书,那每年我们手动更新证书并没什么大问题,但现在阿里云的免费证书仅支持3个月,这意味着每三个月都要要申请一下证书显得非常麻烦。下面我们使用Certbot实现ssl证书自动更新,这次我在Centos8的Nginx上进行演示如何配置SSL证书
Python_Certbot是eff的工具,可以从Lets Encrypt获取证书,并可选择在服务器上自动启用HTTP.zip
05-23
此工具的主要目标是促进互联网上的安全通信,通过自动化流程帮助用户从Let's Encrypt这样的免费证书颁发机构获取SSL证书。Let's Encrypt是一家非营利组织,致力于提供免费且易于使用的HTTPS证书,从而提高互联网的...
Let's Encrypt 证书 SSL通用证书 配置与自动续期
weixin_43139174的博客
11-09 1597
什么是 Let’s Encrypt? 部署 HTTPS 网站的时候需要证书证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 HTTPS 协议的使用。Let’s Encrypt 也是一个 CA 机构,但这个 CA 机构是免费的!!!也就是说签发证书不需要任何费用。Let’s Encrypt 由于是非盈利性的组织,需要控制开支,他们搞了一个非常有创意的事情,设计了一...
【新】snapd申请Let‘s Encrypt免费SSL证书自动化续签证书
赵昕彧
05-21 1399
SSL证书申请,写得比较详细,但是最近发现使用snapd会更方便。使用机器:Ubuntu 20.04。
ubuntu申请Let‘s Encrypt证书,自动续期,实现永久免费SSL
YC_Deram的博客
02-25 811
ubuntu申请Let's Encrypt证书,自动续期,实现永久免费SSL
Let'sEncrypt 免费ssl证书申请并自动续期
qq_35774477的博客
04-06 1755
不过证书有效期仅有3个月,所以为了避免频繁申请证书,我们可以用脚本实现自动续期,目前我测试过三种方式,均成功续期,在此记录下过程。 前提:获取key&Secret 参考:https://github.com/Neilpang/acme.sh/blob/master/dnsapi/README.md 1.acme自动续期: #安装acme curl https://get.acme.sh |...
Let‘s Encrypt在Linux上自动续签HTTPS证书
weixin_73725158的博客
09-25 1042
Let's Encrypt作为一个由Mozilla、Cisco、Akamai、IdenTrust和EFF等组织发起的项目,致力于通过自动化方式为网站提供免费的SSL/TLS证书,极大地促进了互联网的加密化,保障了用户的在线安全。总之,Let's Encrypt在Linux上通过Certbot实现了HTTPS证书自动续签,极大地简化了证书管理的复杂性。为了实现证书自动续签,Certbot会为你设置一个cron作业(或类似的定时任务),该任务会定期检查证书的有效期,并在需要时自动续签证书
快速签发 Let's Encrypt 证书指南
dgrvsq1048的博客
07-12 415
说在前面 本文仅记录给自己的网站添加“小绿锁”的动手操作过程,不涉及 HTTPS 工作原理等内容的讲解,感兴趣的同学可以参考篇尾的文章自行了解。 简单了解下我的实验环境: 云服务器:CentOS 7.4 网站宿主:Nginx 1.12.2 备案域名:www.esofar.cn 这里以www.esofar.cn作为演示域名,届时一定要修改为自己的域名。 什么是 Let's Encr...
Let“s Encrypt证书自动续期的设置方法
Made In SQL
05-01 1879
Let's Encrypt证书自动续期的设置方法主要依赖于Certbot工具,该工具是Let's Encrypt官方推荐的客户端,用于获取和续订SSL证书
letsencrypt 单域名(不是泛域名)申请及自动续期
phenhorlin2的专栏
12-14 1009
letsencrypt 单域名(不是泛域名)申请及自动续期 官方参考:https://certbot.eff.org/docs/using.html#webroot 不是泛域名(*.a.b),泛域名参考我之前的一篇文章:https://blog.youkuaiyun.com/phenhorlin2/article/details/85940861 申请 certbot certonly --web...
推荐开源项目:letsencrypt-zimbra——自动化部署与更新Zimbra的Let's Encrypt证书
gitblog_00036的博客
06-05 474
推荐开源项目:letsencrypt-zimbra——自动化部署与更新Zimbra的Let's Encrypt证书 在数字化办公的今天,安全的电子邮件通信变得愈发重要。作为一款高效协作套件,Zimbra以其强大的功能深受喜爱。然而,确保其通信安全性的关键在于使用可信的数字证书。为此,我们推荐一个名为letsencrypt-zimbra的开源项目,它能帮助您轻松地将Zimbra的自签名证书替换为Le...
Ubuntu 保护Apache服务器的Let‘s Encrypt SSL证书安装与自动续期指南
qq_57526628的博客
11-23 1428
Let’s Encrypt是一个证书颁发机构(CA),它促进了免费TLS/SSL证书的获取和安装,从而使Web服务器能够加密HTTPS。它通过提供软件客户端Certbot来简化流程,Certbot尝试自动化大部分(如果不是全部)所需步骤。目前,在Apache和Nginx上获取和安装证书的整个过程都是完全自动化的。在本教程中,您将使用Certbot为Ubuntu上的Apache获取免费的SSL证书,并确保此证书设置为自动续期
letsencrypt证书自动
04-02
### Let's Encrypt 证书自动续期配置方法 Let’s Encrypt 提供的 SSL/TLS 证书的有效期限仅为 90 天,这一设计旨在推动用户采用自动化的方式完成证书续期操作[^1]。为了简化此过程并减少手动干预的需求,可以利用 Certbot 工具来实现证书自动续期功能。 #### 安装 Certbot Certbot 是一个由 EFF 开发的强大工具,用于管理 Let’s Encrypt 的证书生命周期,包括申请、部署和续期等功能[^3]。以下是安装 Certbot 的基本步骤: 对于 Ubuntu 或 Debian 系统: ```bash sudo apt update sudo apt install certbot python3-certbot-apache ``` 对于 CentOS/RHEL 系统: ```bash sudo yum install epel-release sudo yum install certbot python3-certbot-nginx ``` 如果使用的是其他操作系统或者 Web 服务器环境,请查阅官方文档获取具体指导。 #### 设置定时任务以执行自动续期 一旦成功安装了 Certbot 并初次获得了有效的 SSL 证书之后,下一步就是安排定期运行 `certbot renew` 命令的任务计划程序。通常推荐通过 cron 来调度这些作业。 编辑用户的 crontab 文件: ```bash crontab -e ``` 添加如下条目以便每天凌晨两点尝试一次证书更新(实际时间可以根据需求调整): ```cron 0 2 * * * /usr/bin/certbot renew --quiet && systemctl reload apache2 ``` 上述命令中的 `/usr/bin/certbot` 路径可能依据不同发行版有所变化;另外注意最后部分重启服务的动作应匹配所使用的Web Server类型,比如这里针对 Apache 使用了 `systemctl reload apache2` ,如果是 Nginx 则改为相应的指令如 `systemctl reload nginx` [^4]. 当 Cronjob 执行时它会静默处理所有即将到期的证书,并且只有那些距离失效日期少于30天的才会真正触发重新签发动作[^2]. #### 测试自动续订流程 可以通过模拟提前过期的方式来验证整个机制是否正常运作: ```bash sudo certbot renew --dry-run ``` 如果没有错误消息返回,则说明设置无误。 --- ### 注意事项 尽管本文主要围绕 Linux 下的操作展开讨论,但类似的原理同样适用于 Windows 和 macOS 上的服务端应用场合。不过具体的实施细节可能会因为平台差异而略有区别。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值