解决 Let‘s Encrypt 证书自动续订问题:CentOS 环境下配置 certbot 定时任务

原创 已于 2025-03-19 17:00:13 修改
· 1.1k 阅读 · 30 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#centos #linux #运维

于 2025-03-19 16:58:42 首次发布

背景介绍

最近,我发现我的网站 lishaowu.com 出现了“连接不安全”的警告,检查后发现 Let's Encrypt 证书已于 2025年3月18日过期。手动运行 sudo certbot renew 可以成功续订证书,但显然没有自动续订机制,导致证书过期后需要手动干预。作为一个运行在 CentOS 服务器上的网站(使用 Nginx 作为 Web 服务器),我决定配置 certbot 的自动续订功能,确保证书在到期前 30 天自动更新,避免类似问题再次发生。

在这篇博客中,我将分享如何在 CentOS 环境下通过 systemd 定时器配置 certbot 自动续订的完整流程,包括遇到的问题和解决方法。

问题描述

我的服务器上已经安装了 certbot(版本 1.11.0),并通过 certbot 生成了 Let's Encrypt 证书,用于 lishaowu.com 和 www.lishaowu.com。然而,证书过期后,网站显示“连接不安全”,需要手动运行以下命令续订:

sudo certbot renew

续订成功后,我检查了自动续订的配置,发现没有任何定时任务:

  • sudo crontab -l 输出 no crontab for root,说明没有通过 cron 配置自动续订。
  • sudo systemctl list-timers 只显示了 systemd-tmpfiles-clean.timer,没有 certbot.timer,说明也没有通过 systemd 定时器配置自动续订。

显然,缺少自动续订机制是导致证书过期的主要原因。我决定通过 systemd 定时器配置自动续订,因为 systemd 是现代 Linux 系统中更推荐的方式。

解决流程

以下是配置 certbot 自动续订的完整步骤,主要包括创建 certbot.service 和 certbot.timer 文件,启用定时器,并测试续订功能。

步骤 1:创建 certbot.service 文件

certbot.service 文件定义了一个 systemd 服务单元,用于运行 certbot renew 命令。

  1. 创建文件: 使用 cat 和 tee 命令创建文件,避免使用 vi 时可能遇到的按键问题(我在阿里云 Workbench 终端中操作 vi 时遇到过按键无反应的情况):

    cat << 'EOF' | sudo tee /usr/lib/systemd/system/certbot.service
[Unit]
Description=Certbot
Documentation=file:///usr/share/doc/python-certbot-doc/html/index.html
Documentation=https://certbot.eff.org/docs
After=network-online.target

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot -q renew
PrivateTmp=true
EOF

  2. 验证文件: 检查文件内容是否正确:

    cat /usr/lib/systemd/system/certbot.service

    预期输出:

步骤 2:创建 certbot.timer 文件

certbot.timer 文件定义了一个 systemd 定时器单元,用于定期触发 certbot.service。

  1. 创建文件: 同样使用 cat 和 tee 创建文件:

    cat << 'EOF' | sudo tee /usr/lib/systemd/system/certbot.timer
[Unit]
Description=Run certbot twice daily

[Timer]
OnCalendar=*-*-* 00,12:00:00
RandomizedDelaySec=12h
Persistent=true

[Install]
WantedBy=timers.target
EOF

  2. 验证文件: 检查文件内容:

    cat /usr/lib/systemd/system/certbot.timer

    预期输出:

步骤 3:启用和启动定时器

  1. 重新加载 systemd 配置: 确保 systemd 识别新创建的文件:

    sudo systemctl daemon-reload

  2. 启用定时器: 使定时器在系统启动时自动激活:

    sudo systemctl daemon-reload

  3. 启动定时器: 立即启动定时器:

    sudo systemctl start certbot.timer

  4. 验证定时器: 检查定时器是否正常运行:

    sudo systemctl list-timers

    预期输出(示例):

    检查定时器状态:

    sudo systemctl status certbot.timer

    预期输出(示例):

步骤 4:测试自动续订

运行模拟续订,确认续订功能是否正常:

sudo certbot renew --dry-run

预期输出(示例):

模拟续订成功,说明续订配置正常。

【HTTPS】免费SSL证书配置Let‘s Encrypt自动续期
Hello, New World!
04-15 537
若需修改续期频率,需编辑 Snap 定时器的配置(需通过 Snap 命令或修改系统级定时器文件),但默认配置已足够安全(证书到期前 30 天内才会实际续期)。每 12 小时(即每天的 0 点和 12 点)执行一次 certbot renew 命令,–quiet 选项用于在执行时不输出过多信息。:服务器B修改相应的nginx ssl证书配置即可,参考服务器A。:拷贝服务器A上生成的文件到服务器B,并设置相应的权限和软连接。我在服务器B还需要拷贝证书,用于 prod 的域名。验证来申请泛域名证书
Nginx与Let‘s Encrypt的完美联姻:实现自动SSL证书更新,保障网站安全无忧
墨夶的博客
02-09 617
Let’s Encrypt是一个由互联网安全研究小组(ISRG)运营的非营利性证书颁发机构(CA),它致力于通过简化流程来推广HTTPS的广泛采用。与其他商业CA不同,Let’s Encrypt提供完全免费的DV(域名验证)SSL证书,并且鼓励开发者利用其API接口自动化整个证书管理过程。这不仅降低了成本,还大大减少了人工干预的风险。总之,通过遵循上述指南,你可以轻松地将Nginx与Let’s Encrypt结合在一起,实现SSL证书自动化管理和更新。
Certbot实现 HTTPS 免费证书(Let‘s Encrypt)自动续期
小小明-代码实体的专栏
12-12 7585
以前阿里云支持申请一年的免费https证书,那每年我们手动更新证书并没什么大问题,但现在阿里云的免费证书仅支持3个月,这意味着每三个月都要要申请一下证书显得非常麻烦。下面我们使用Certbot实现ssl证书自动更新,这次我在Centos8的Nginx上进行演示如何配置SSL证书
Let“s Encrypt证书自动续期的设置方法
Made In SQL
05-01 1325
Let's Encrypt证书自动续期的设置方法主要依赖于Certbot工具,该工具是Let's Encrypt官方推荐的客户端,用于获取和续订SSL证书
宝塔自动续签Let‘s Encrypt证书
weixin_61769998的博客
08-16 3260
宝塔自动续签Let's Encrypt证书
letsencrypt certbot自动续订常用命令
change_fate的博客
06-13 1016
如果你想在新的服务器配置https证书安装certbot(https://certbot.eff.org/instructions?拷贝项目中的文件到~/snap/目录,renewCert.sh为更新成功后执行的脚本添加更新成功运行时钩子:测试: sudo certbot renew --force-renewal进入网站,点击网址处的加密标志,查看颁发日期是否是新的。
Let‘s Encrypt免费安全证书的步骤及使用-基于centos9, 包括工具certbot安装及使用,获取apache、nginx、iis等服务器安全证书
zrc_xiaoguo的博客
12-07 9670
Certbot 是一个由 Electronic Frontier Foundation(EFF)支持的免费、开源的工具,用于自动化获取、部署和更新 HTTPS 证书。它是为了方便使用 Let's Encrypt 服务而开发的,允许用户在 Web 服务器上快速设置 SSL/TLS 加密连接。
配置centos下nginx ssl证书自动续期(certbot申请泛域名证书Let‘s Encrypt免费证书
qq_38776651的博客
10-22 1206
输入:certbot certonly --preferred-challenges dns --manual -d *.baidu.com --server https://acme- v02.api.letsencrypt.org/directory --register-unsafely-without-email。#可以用dig -t txt _acme-challenge.xx.cn验证解析是否生效, -------如无dig命令需要用yum install bind-utils。
centos+nginx 使用Let‘s Encrypt生成免费SSL证书
WSF713的博客
07-12 1331
配置nginx配置,如我使用 lnmp 集成环境安装的,目录一般是在 /usr/local/nginx/conf 或者 /usr/local/nginx/conf/vhost/,如果是你自己安装的则进到 nginx 的配置目录即可。申请成功后,证书会保存在 /etc/letsencrypt/live/你的域名/ 下面,如上面的命令会在 /etc/letsencrypt/live/www.testDomain.com/ 保存.到此已完成所有配置,可以访问你的域名了。如果出现以下提示则证明配置没有问题
深度解析 Let‘s Encrypt 证书申请:从核心概念到实战避坑指南
最新发布
开源就要来点实在的
05-02 909
免费(如 Let's Encrypt)或低价。# 申请包含所有子域名的证书(需DNS验证)仅验证域名控制权(DNS/HTTP 验证)人工审核 + 机器验证(1-3 个工作日):手动 DNS 验证时 TXT 记录值错误。验证企业资质(营业执照 / 联系方式)个人博客 / 小型网站 / 测试环境。企业官网 / 电商平台 / 金融机构。
CentOS7-Nginx配置Let‘s-Encrypt-SSL证书
职场亮哥
11-09 440
Let's-Encrypt 为http站点添加https支持,需要从证书发行机构获取SSL/TLS 证书。常见的免费证书有两种: Let's-Encrypt,本文即将介绍,Let's-Encrypt大法好。 caddy,原生支持 HTTP/2,自动创建 Let’s Encrypt 证书,非常简单易用。 安装 yum install epel-release -y yum install certbot -y 配置 certbot certonly --webroot -w /ww
宝塔面板网站SSL证书到期如何手动和自动续签Let’s Encrypt
weixin_45734165的博客
08-27 5667
宝塔面板提供2种免费的SSL证书:宝塔SSL,Let’s Encrypt。前面第1,2步骤主要是手动续签,比较稳定可靠,唯一的缺点是需要进入后台进行操作,并且有时候可能忘记续签。实际上宝塔面板还提供了很多计划任务的脚本,可以自动续签Let’s Encrypt证书。不管是给网站部署SSL还是给网站SSL续签,利用宝塔后台来进行网站SSL证书的管理还是比较方便高效的。2.手动续签:网站设置后台点击【SSL】》【Let’s Encrypt】》【续签】1.手动续签:登录宝塔面板后台,点击【网站】》【设置】
LetsEncrypt】ssl证书完全自动续签
Rand Tsui
09-19 5345
ssl证书如果用到很多个,手动更新将会比较烦,并且免费的LetsEncrypt 90天就要更新一次,总不能今天更新完了,明天或下周又要更新,如果能让它自动更新岂不美哉?实践证明,这是行得通的。 首先,ssl证书我目前有2个用途,一个是自己服务器的nginx需要,nginx配置文件写好证书路径即可,每次获取到新的证书,nginx 需要重新加载配置文件,nginx -s reload。另一个用途是获取到证书之后上传给阿里云CDN使用,因为CDN开了https,上传证书通过CDN SDK的接口上传而不是手动。.
ubuntu申请Let‘s Encrypt证书,自动续期,实现永久免费SSL
YC_Deram的博客
02-25 673
ubuntu申请Let's Encrypt证书,自动续期,实现永久免费SSL
Let‘s EncryptLinux自动续签HTTPS证书
weixin_73725158的博客
09-25 980
Let's Encrypt作为一个由Mozilla、Cisco、Akamai、IdenTrust和EFF等组织发起的项目,致力于通过自动化方式为网站提供免费的SSL/TLS证书,极大地促进了互联网的加密化,保障了用户的在线安全。总之,Let's EncryptLinux上通过Certbot实现了HTTPS证书自动续签,极大地简化了证书管理的复杂性。为了实现证书自动续签Certbot会为你设置一个cron作业(或类似的定时任务),该任务会定期检查证书的有效期,并在需要时自动续签证书
2025年申请Let‘s Encrypt免费SSL证书自动续签证书
tersky的专栏
03-17 659
站点目录:html文件保存位置,只需要到文件夹即可。比如index.html在/www/a/b/index.html,则这里只要取/www/a/b即可。这里配置的是每周一 10点执行一次,根据个人需求更改配置即可。联系人email地址:填写自己的邮箱即可。配置完成后记得重启nginx!站点域名:购买的域名。
windows Server下Let‘s Encrypt的SSL证书续期
bigcarp的专栏
02-24 2123
3、在开始菜单中打开Certbot客户端(或者管理员权限powershell进入Certbot安装目录下的\bin目录)2、暂时关闭防火墙,命令。1、暂停IIS服务器。
[笔记] CentOS7 + Nginx 环境下,安装使用 Let‘s Encrypt 免费 SSL 证书 (自动续签)
LuChangQiu的博客
10-18 2184
安装 `SSL/TLS` 证书在服务器可以确保数据传输的安全性和完整性,验证服务器身份,增强用户信任,提升搜索引擎排名,并符合相关法规要求,从而保护敏感信息不被窃听或篡改。 网站使用 `HTTPS` 协议已是大势所趋,而要在 `web` 上使用 `HTTPS` 的话,我们首先需要获得一个 `SSL` 证书文件。本文介绍如何在 `CentOS7 + Nginx` 环境下,安装使用 `Let's Encrypt` 免费 `SSL` 证书 , 并且使用 `docker` 部署项目 。
宝塔 续签Let's Encrypt证书
qq_36746815的博客
02-21 965
操作如图: 脚本内容: python /www/server/panel/class/panelLets.py renew_lets_ssl 完成,OK .
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李少武

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值