1Panel 推送 SSL 证书到阿里云、腾讯云

已于 2024-11-15 15:55:11 修改
阅读量1.6k 收藏 6
点赞数 14
文章标签: ssl 阿里云 腾讯云
于 2024-11-15 15:45:39 首次发布
本文链接:https://blog.youkuaiyun.com/qq_20003465/article/details/143800932
版权

本文首发于 Anyeの小站点击链接 访问原文体验更佳

前言

都用 CDN 了还在乎那点 1 年证书钱么? 开句玩笑话,按照 Apple 的说法,证书有效期不该超过 45 天。那么证书有效期的缩短意味着要更频繁地更新证书。对于我这样的“裸奔”站点来说,自动续签的 ZeroSSL 证书影响不是很大,但是对于使用 CDN 的站点来说,频繁更新证书可能会带来额外的管理成本和复杂性。

那么就不得不提到 1Panel 在 v1.10.12-lts 引入的功能https://github.com/1Panel-dev/1Panel/pull/5517,在 1Panel 自动续签证书后允许用户自定义脚本来实现高阶功能,这不就是给 CDN 推送量身打造的吗?

好吧,基于群里很多小伙伴有这个需求,那么我就用 王总 倾向的 Docker 来实现。

制作不易,点个赞再走吧。

获取 ID & Key

这点相信会使用 DNS 申请证书的用户都明白,如果不会,请看:

https://help.aliyun.com/zh/cli/configure-credentialshttps://console.cloud.tencent.com/cam/capi

获取到

ALIBABA_CLOUD_ACCESS_KEY_ID  # 阿里云AccessKey ID
ALIBABA_CLOUD_ACCESS_KEY_SECRET # 阿里云AccessKey Secret

TENCENTCLOUD_SECRET_ID  # 腾讯云Secret ID
TENCENTCLOUD_SECRET_KEY # 腾讯云Secret Key

构建二合一 Cli 镜像

在 1Panel 侧边栏 容器 -> 镜像 中选择 构建镜像 ,名称填写 aliyun-tccli ,编辑内容如下:

FROM alpine:latest

RUN if curl -s https://cloudflare.com/cdn-cgi/trace | grep -q 'loc=CN' || [ $? -ne 0 ]; then \
        sed -i 's/dl-cdn.alpinelinux.org/mirrors.tuna.tsinghua.edu.cn/g' /etc/apk/repositories; \
        pip_conf="https://pypi.tuna.tsinghua.edu.cn/simple"; \
    else \
        pip_conf="https://pypi.org/simple"; \
    fi \
    && apk add --no-cache python3 py3-pip jq wget curl \
    && pip config set global.index-url $pip_conf

RUN wget https://aliyuncli.alicdn.com/aliyun-cli-linux-latest-amd64.tgz \
    && tar -xvzf aliyun-cli-linux-latest-amd64.tgz \
    && rm aliyun-cli-linux-latest-amd64.tgz \
    && mv aliyun /usr/local/bin/ \
    && mkdir -p /lib64 && ln -s /lib/libc.musl-x86_64.so.1 /lib64/ld-linux-x86-64.so.2

RUN python3 -m venv /opt/venv \
    && . /opt/venv/bin/activate \
    && pip install --no-cache-dir tccli

ENV PATH="/opt/venv/bin:$PATH"
ENV ALIBABA_CLOUD_PROFILE=AkProfile
ENV ALIBABA_CLOUD_IGNORE_PROFILE=TRUE
ENV ALIBABA_CLOUD_REGION_ID=cn-hangzhou

RUN echo '#!/bin/sh' > /entrypoint.sh && \
    echo '' >> /entrypoint.sh && \
    echo 'CLOUD_PROVIDER="$1"' >> /entrypoint.sh && \
    echo 'SERVICE_TYPE="$2"' >> /entrypoint.sh && \
    echo 'DOMAIN_NAME="${DomainName}"' >> /entrypoint.sh && \
    echo '' >> /entrypoint.sh && \
    echo 'if [ -z "$CLOUD_PROVIDER" ] || [ -z "$SERVICE_TYPE" ] || [ -z "$DOMAIN_NAME" ]; then' >> /entrypoint.sh && \
    echo '  echo "错误: 缺少必要的参数。请提供 CLOUD_PROVIDER, SERVICE_TYPE 和 DOMAIN_NAME 参数。"' >> /entrypoint.sh && \
    echo '  exit 1' >> /entrypoint.sh && \
    echo 'fi' >> /entrypoint.sh && \
    echo '' >> /entrypoint.sh && \
    echo 'if [ "$CLOUD_PROVIDER" = "aliyun" ]; then' >> /entrypoint.sh && \
    echo '  if [ "$SERVICE_TYPE" != "cdn" ] && [ "$SERVICE_TYPE" != "dcdn" ]; then' >> /entrypoint.sh && \
    echo '    echo "错误: 对于阿里云,支持的服务类型只有 cdn 和 dcdn。"' >> /entrypoint.sh && \
    echo '    exit 1' >> /entrypoint.sh && \
    echo '  fi' >> /entrypoint.sh && \
    echo '  SSLPub=$(cat /ssl/fullchain.pem)' >> /entrypoint.sh && \
    echo '  SSLPri=$(cat /ssl/privkey.pem)' >> /entrypoint.sh && \
    echo '  if [ "$SERVICE_TYPE" = "cdn" ]; then' >> /entrypoint.sh && \
    echo '    echo "同步证书到阿里云 CDN..."' >> /entrypoint.sh && \
    echo '    aliyun cdn SetCdnDomainSSLCertificate --DomainName "$DOMAIN_NAME" --CertType upload --SSLProtocol on --SSLPub="$SSLPub" --SSLPri="$SSLPri"' >> /entrypoint.sh && \
    echo '    if [ $? -eq 0 ]; then' >> /entrypoint.sh && \
    echo '      echo "阿里云 CDN 证书同步成功。"' >> /entrypoint.sh && \
    echo '    else' >> /entrypoint.sh && \
    echo '      echo "阿里云 CDN 证书同步失败。"' >> /entrypoint.sh && \
    echo '      exit 1' >> /entrypoint.sh && \
    echo '    fi' >> /entrypoint.sh && \
    echo '  elif [ "$SERVICE_TYPE" = "dcdn" ]; then' >> /entrypoint.sh && \
    echo '    echo "同步证书到阿里云 DCDN..."' >> /entrypoint.sh && \
    echo '    aliyun dcdn SetDcdnDomainSSLCertificate --DomainName "$DOMAIN_NAME" --CertType upload --SSLProtocol on --SSLPub="$SSLPub" --SSLPri="$SSLPri"' >> /entrypoint.sh && \
    echo '    if [ $? -eq 0 ]; then' >> /entrypoint.sh && \
    echo '      echo "阿里云 DCDN 证书同步成功。"' >> /entrypoint.sh && \
    echo '    else' >> /entrypoint.sh && \
    echo '      echo "阿里云 DCDN 证书同步失败。"' >> /entrypoint.sh && \
    echo '      exit 1' >> /entrypoint.sh && \
    echo '    fi' >> /entrypoint.sh && \
    echo '  fi' >> /entrypoint.sh && \
    echo '' >> /entrypoint.sh && \
    echo 'elif [ "$CLOUD_PROVIDER" = "tencent" ]; then' >> /entrypoint.sh && \
    echo '  if [ "$SERVICE_TYPE" != "cdn" ] && [ "$SERVICE_TYPE" != "eo" ]; then' >> /entrypoint.sh && \
    echo '    echo "错误: 对于腾讯云,支持的服务类型只有 cdn 和 eo。"' >> /entrypoint.sh && \
    echo '    exit 1' >> /entrypoint.sh && \
    echo '  fi' >> /entrypoint.sh && \
    echo '  CertificatePublicKey=$(cat /ssl/fullchain.pem)' >> /entrypoint.sh && \
    echo '  CertificatePrivateKey=$(cat /ssl/privkey.pem)' >> /entrypoint.sh && \
    echo '  resp=$(tccli ssl UploadCertificate --cli-unfold-argument --CertificatePublicKey "$CertificatePublicKey" --CertificatePrivateKey "$CertificatePrivateKey")' >> /entrypoint.sh && \
    echo "  CertificateId=\$(echo \$resp | egrep -o '\"CertificateId\": \"[^\"]+\"' | cut -d'\"' -f4)" >> /entrypoint.sh && \
    echo '' >> /entrypoint.sh && \
    echo '  if [ "$SERVICE_TYPE" = "cdn" ] || [ "$SERVICE_TYPE" = "ecdn" ]; then' >> /entrypoint.sh && \
    echo '    echo "同步证书到腾讯云 CDN/ECDN..."' >> /entrypoint.sh && \
    echo '    tccli ssl DeployCertificateInstance --cli-unfold-argument --CertificateId "$CertificateId" --InstanceIdList "$DOMAIN_NAME" --ResourceType cdn --Status 1' >> /entrypoint.sh && \
    echo '    if [ $? -eq 0 ]; then' >> /entrypoint.sh && \
    echo '      echo "腾讯云 CDN/ECDN 证书同步成功。"' >> /entrypoint.sh && \
    echo '    else' >> /entrypoint.sh && \
    echo '      echo "腾讯云 CDN/ECDN 证书同步失败。"' >> /entrypoint.sh && \
    echo '      exit 1' >> /entrypoint.sh && \
    echo '    fi' >> /entrypoint.sh && \
    echo '  elif [ "$SERVICE_TYPE" = "eo" ]; then' >> /entrypoint.sh && \
    echo '    echo "同步证书到腾讯云 EO..."' >> /entrypoint.sh && \
    echo '    tccli ssl DeployCertificateInstance --cli-unfold-argument --CertificateId "$CertificateId" --InstanceIdList "$DOMAIN_NAME" --ResourceType eo --Status 1' >> /entrypoint.sh && \
    echo '    if [ $? -eq 0 ]; then' >> /entrypoint.sh && \
    echo '      echo "腾讯云 EO 证书同步成功。"' >> /entrypoint.sh && \
    echo '    else' >> /entrypoint.sh && \
    echo '      echo "腾讯云 EO 证书同步失败。"' >> /entrypoint.sh && \
    echo '      exit 1' >> /entrypoint.sh && \
    echo '    fi' >> /entrypoint.sh && \
    echo '  fi' >> /entrypoint.sh && \
    echo '' >> /entrypoint.sh && \
    echo 'else' >> /entrypoint.sh && \
    echo '  echo "错误: 不支持的云服务提供商 $CLOUD_PROVIDER。"' >> /entrypoint.sh && \
    echo '  exit 1' >> /entrypoint.sh && \
    echo 'fi' >> /entrypoint.sh

RUN chmod +x /entrypoint.sh

CMD ["/entrypoint.sh"]

等待构建成功。

申请证书后执行脚本

docker run --rm --name aliyun-tccli \
    -e ALIBABA_CLOUD_ACCESS_KEY_ID=aliyun_access_key_id \
    -e ALIBABA_CLOUD_ACCESS_KEY_SECRET=aliyun_access_key_secret \
    -e TENCENTCLOUD_SECRET_ID=tencloud_secret_id \
    -e TENCENTCLOUD_SECRET_KEY=tencloud_secret_key \
    -e DomainName=youdomain.com \
    -v /path/to/ssl:/ssl \
    aliyun-tccli "/entrypoint.sh" "[aliyun|tencent]" "[cdn|dcdn|eo]"

前四个环境变量即获取到的 Key,需要推送到阿里云就只写阿里云的 AK 即可,腾讯云同理。

DomainName 的值为你在云厂商配置的域名(一般就是最终访问的域名)。

/path/to/ssl 填写上面配置的推送目录,如我这里的 /root/ssl/anye.xyz

  1. 若使用的是阿里云 CDN 内容分发网络:https://www.aliyun.com/product/cdn,则最后一行选择 aliyun cdn ,即 aliyun-tccli "/entrypoint.sh" "aliyun" "cdn"

  2. 若使用的是阿里云全站加速 DCDN:https://www.aliyun.com/product/dcdn,则最后一行选择 aliyun dcdn ,即 aliyun-tccli "/entrypoint.sh" "aliyun" "dcdn"

  3. 若使用的是腾讯云内容分发网络 CDN / 全站加速网络 ECDN:https://cloud.tencent.com/product/cdn/https://cloud.tencent.com/product/ecdn,则最后一行选择 tencent cdn ,即 aliyun-tccli "/entrypoint.sh" "tencent" "cdn"

  4. 若使用的是腾讯云边缘安全加速平台 EO:https://cloud.tencent.com/product/teo,则最后一行选择 tencent eo ,即 aliyun-tccli "/entrypoint.sh" "tencent" "eo"

开始自动化之旅吧~

后记

** 腾讯云的 SDK 奇奇怪怪的,调用还反复横跳,上传反应还慢半拍,一言难尽。。。彻夜未眠

腾讯云的 EO 没测试,成本有些高,不过应该没啥问题,有问题的话望各位大佬写在评论区,我会尽快修改。

参考资料

[1] https://github.com/cabforum/servercert/pull/553

[2] https://github.com/aliyun/aliyun-cli

[3] https://github.com/TencentCloud/tencentcloud-cli

1Panel:如何轻松管理SSL证书的申请与续签
何同学
02-13 1715
通过上述步骤,我们详细介绍了如何在1Panel中使用阿里云DNS账户申请SSL证书,并实现自动续签。整个过程简单高效,极大地简化了传统SSL证书申请和续签的复杂流程。1Panel的强大功能不仅让证书管理变得更加便捷,还为网站的安全运行提供了有力保障。在实际操作中,确保填写正确的Access Key和Secret Key非常重要,这些信息是连接阿里云DNS服务的关键。如果在申请过程中遇到问题,建议首先检查DNS账户权限是否正确配置,确保该账户具有对相关域名的读写权限。
腾讯云篇6、宝塔面板 SSL 证书安装部署
weixin_49713519的博客
07-03 1456
宝塔面板 SSL 证书安装部署
申请免费阿里云ssl证书并在web面板中(1panel、宝塔面板等)部署
qq_44980517的博客
06-09 1916
申请免费阿里云ssl证书,并部署到web(1panel,宝塔面板)面板中
告别“不安全”警告!1Panel面板一键SSL证书配置,免费SSL证书+自动更新+自动部署,太省心了!
02-25 541
1Panel面板自带的SSL证书及面板SSL证书总是自动更新失败,并且使用起来很多限制,不是很方便,最近发现之前使用OHTTPS已经支持1Panel面板的SSL证书自动更新和部署了,使用起来很方便,推荐给大家
1Panel】申请免费SSL证书
時光的博客
12-14 880
选择刚才创建的Acme账户验证方式选择Http,勾选自动续期。选择刚才申请的证书启用HTTPS即可。,邮箱随便填,其他保持默认。
1panel使用指南(二)添加ssl证书
失心少年
12-30 4656
SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书SSL 证书 [1]就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;
1panel中使用cloudflare DNS账户申请SSL证书&自动续签
wavemap的博客
05-13 8561
通过在cloudflare创建API Token来申请SSL证书,解决了使用global api key导致的区域错误,实现了SSL证书的申请和自动续签 通过在cloudflare创建API Token来申请SSL证书,解决了使用global api key导致的区域错误,实现了SSL证书的申请和自动续签
提升1Panel的安全性:在Armbian上设置个性化SSL证书
缘友一世的博客
07-12 1978
例如,一些DDoS攻击是基于HTTP请求进行的,而SSL证书可以使HTTP请求变得更复杂和更难以模拟,从而减少了攻击的成功率。此外,SSL证书可能使攻击者更难以确定服务器的真实IP地址,因此他们可能需要更多的时间和资源才能发起有效的攻击。你可以将这个证书签名请求文件提交给证书颁发机构(CA)以获取一个有效的证书证书文件内容错误:如果证书文件已被篡改或损坏,OpenSSL可能无法正确解析它。证书文件路径错误:请确保你提供的证书文件路径是正确的,并且文件存在。中,导入私钥文件和证书文件,保存配置。
通过域名接口申请免费的ssl多域名证书
osfipin note
05-22 992
来此加密已顺利接入阿里云的域名接口,用户只需一键调用,便可轻松完成域名验证,从而更高效地申请证书。接下来,让我们详细解读一下整个操作过程。首先,我们需要准备好阿里云的接口信息,包括至关重要的AccessKey ID和AccessKey Secret。
我的物联网笔记1——Python+MQTT利用阿里云物联网平台实现图传
Kurakipeaf的博客
06-16 2362
我们要用Python实现此功能需要 重新编写脚本,原理很简单,就是将图片转为base64编码,然后发送端建立与平台的连接,通过MQTT协议发送,平台中转给接收端,接收端可以解码此图片呈现。最近实验有需要用到MQTT传输图像的需求,本人也不太会写除Python以外的代码,恰好今天读到嵌入式圈内的大佬。受大佬启发,今天利用Python写一个简单的MQTT图传程序。OK,设备连接正常,下一步我们来搞一下图片传输。图片以base64编码的形式发送了。Wireshark抓包。手机端也接收到图片了。
828华为云征文|部署 Linux 服务器运维管理面板 1Panel
maxxspace的博客
09-20 1816
1Panel 是一个现代化、开源的 Linux 服务器运维管理面板。
1panel申请https/ssl证书自动续期
joke博客
09-27 1300
1panel申请https/ssl证书自动续期,腾讯云dns账号申请
1Panel安装部署证书(httpsok.com)
thomastangweixin的专栏
09-29 1120
1Panel一键部署安装SSL证书,使用httpsok.com,申请通配符证书
记录一次1Panel配置SSL导致的面板访问失败
qq_25851273的博客
01-18 7133
解决1Panel配置SSL导致的面板访问失败
如何使用1Panel免费申请与续签SSL证书
最新发布
weixin_43811965的博客
03-10 1018
SSL证书在当今互联网环境中具有至关重要的意义。它通过加密技术保障了网站与用户之间数据传输的安全性。在信息传输过程中,SSL证书能够将数据加密,使得即使数据被截取,攻击者也难以解读其内容,从而有效防止了信息泄露和篡改。这对于涉及敏感信息传输的网站,如电子商务平台、银行网站等,尤为重要。其次,SSL证书通过身份验证机制验证网站的身份,确保用户访问的是真实的网站而非钓鱼网站。这不仅保护了用户的个人信息和财产安全,还增强了用户对网站的信任感。
【实战经验】如何使用 1panel 部署 https 证书(上篇)
ericchang 的技术分享小站
10-30 1334
https 证书为了保证顾客的支付信息(如信用卡号、个人身份信息等)不被泄露,我们的网站需要使用HTTPS证书来加密所有传输的数据。而且我们还想在小程序上上线这个在线商店,但是微信有一个要求必须要 https 证书的网站才可以部署后端服务。1panel管理证书相关,包括申请证书、续约证书、ACME 账户管理,DNS账户管理等。
1Panel CloudFlare证书申请失败的解决方案
skyhhjmk的博客
01-28 2080
唯一不足的就是明明已经修改为API Token,应该在面板申请证书时做出提示,并且修改文字为API Token而不是 API Key。为解决此问题,我们需要创建一个新的 API Token 而不是使用 Global API Key。申请证书时,如果是以前创建的Acme账户,那么请选择 RSA2048 的密钥算法。并且Global API Key的命名中完整包含了“API Key”关键字。在升级1Panel后,使用 CloudFlare DNS验证时,会提示。登录后,点击右上角的小人,点击我的个人资料。
手把手教你白嫖泛域名证书
软件用起来才有价值
09-24 2546
泛域名证书(Wildcard SSL Certificate)是一种SSL证书,它允许你为一个域名及其所有子域名进行加密保护。换句话说,一张证书即可保护你的主域名(如example.com)以及其下所有子域名(如blog.example.com、shop.example.com等),极大地简化了证书管理的工作。通过1Panel,一键申请免费的泛域名证书,彻底告别复杂的手动操作和高额费用支出。不仅如此,1Panel还可以帮助你更轻松地管理服务器、优化网站性能,是站长和开发者不可或缺的管理利器。
阿里云的免费ssl证书
02-06
### 如何申请和使用阿里云免费SSL证书 #### 申请过程 为了获得阿里云提供的免费SSL证书,需遵循特定程序。首先,访问官方平台并导航至安全服务下的SSL证书部分,在此页面中选择免费型DV SSL产品[^1]。值得注意的是,自2021年起,由于政策调整,用户需要通过购买名为“免费证书扩容包”的选项来启动这一流程,尽管实际费用仍为零元。 完成上述操作后,进入证书资源包管理界面提交具体域名的认证请求。整个过程中涉及的身份验证环节相对简便快捷,通常只需几分钟即可审核完毕并发放所需凭证文件[^2]。 #### Nginx配置实例 一旦成功获取了由阿里云颁发的安全传输层协议(TLS)密钥对及其关联中间件,则可以在Web服务器上实施安装工作: ```bash # 假设已将下载好的.crt .key 文件放置于 /etc/nginx/ssl/ sudo nano /etc/nginx/sites-available/default ``` 编辑后的站点配置应类似于下面这样: ```nginx server { listen 80; server_name example.com www.example.com; location /.well-known/acme-challenge/ { root /var/www/html; } rewrite ^ https://$host$request_uri? permanent; } server { listen 443 ssl http2; server_name example.com www.example.com; ssl_certificate /etc/nginx/ssl/example_com.crt; ssl_certificate_key /etc/nginx/ssl/example_com.key; # ...其他设置... } ``` 重启Nginx使更改生效: ```bash sudo systemctl restart nginx ``` #### 注意事项与替代方案 需要注意的是,随着市场策略的变化,目前主要云计算服务商对于长期有效的免费SSL证书支持有所缩减。例如,阿里云已经停止了一年有效期版本的服务;同样地,腾讯云也做出了相似决定。因此建议探索第三方工具如Let's Encrypt配合自动化脚本(比如Certbot),或是采用集成此类功能的一站式解决方案——像提到过的1Panel,它们能够简化日常管理和维护任务的同时保持良好的安全性保障[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Anyexyz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值