如何自动为 Lighttpd 更新 Let's Encrypt 证书?
How does one automate Let’s Encrypt certificate renewal for Lighttpd?
在 Linux 系统 运行 Lighttpd 上,如何自动为 Let's Encrypt 证书更新证书。 Let's Encrypt 为 Apache 2 和 NGINX 提供了很棒的脚本,但 Lighttpd 却没有,后者对于像 Raspberry Pi 或旧盒子这样的小型系统来说要舒服得多。
Danny Tuppeny 通过一个简单的脚本提供了一个很好的开始,您可以在他的博客 运行 posting Installing Lighttpd, PHP 7 and LetsEncrypt on a Raspberry Pi (Raspbian Jessie Lite)
# Renew cert
# updated for name change [mscalora]
letsencrypt-auto renew
# Rebuild the cert
pushd /etc/letsencrypt/live/<your-domain-here>/
cat privkey.pem cert.pem > combined.pem
popd
# Reload
/etc/init.d/lighttpd force-reload
基于最新的 Let's Encrypt 脚本包的更通用的版本可以在我的 Gist 中找到:letsencrypt-update-lighttpd。此脚本将使用证书处理多个域。
Danny Tuppeny 的博客 post 也有关于原始设置的信息。
有一个适用于任何网络服务器的通用 standalone 验证器(插件)。但是,如果您的服务器处理端口 80 上的请求,您将面临 certbots 说的问题 “此插件需要绑定到端口 80 才能执行域验证,因此您可能需要停止现有的网络服务器。 " 因此,如果您必须为网络服务器续订证书,它会在域验证期间停机。
如果您不关心这种停机时间,请按原样使用独立插件。
但是,有一个解决方案可以帮助您避免停机:
运行 certbot 参数:--standalone --http-01-port 123456 - 插件的网络服务器将在端口 12346 而不是 80 上启动,所以你不需要停止您的网络服务器。
设置并运行一个非常轻量级的中间反向代理,例如Tinyproxy:
yum -y install tinyproxy --enablerepo='epel';
将其配置为监听端口 12345。其配置如下所示:
User tinyproxy
Group tinyproxy
Port 12345
Timeout 6000
MaxClients 100
MinSpareServers 5
MaxSpareServers 20
StartServers 10
MaxRequestsPerChild 0
BindSame yes
DisableViaHeader Yes
ConnectPort 80
ConnectPort 12346
AddHeader "X-Forwarded-Proto" "http"
ReversePath "/" "http://127.0.0.1/"
ReversePath "/.well-known/acme-challenge/" "http://127.0.0.1:12346/.well-known/acme-challenge/"
ReverseOnly Yes
ReverseMagic Yes
它应该侦听 HTTP 流量并在两个网络服务器之间重定向请求。代理过滤流量并将包含“/.well-known/acme-challenge/”的 Let's Ecnrypt 验证请求重定向到插件的网络服务器端口 12346,并将常规 HTTP 请求重定向到您的网络服务器端口 80.
- 使用 iptables 创建 HTTP 流量重定向以将代理从端口 80 反向到端口 12345,并接受新端口上的流量:
iptables -I 输入 -p tcp -m tcp --dport 12346 -j 接受
iptables -I 输入 -p tcp -m tcp --dport 12345 -j 接受
iptables -t nat -I PREROUTING -p tcp -m tcp ! -s 127.0.0.1/32 --dport 80 -j 重定向 --to-ports 12345
- 验证完成后立即删除上述防火墙规则并停止代理服务器。
这就是您获得自动 Let's Encrypt 证书续订的全部内容,无需停机,也无需更改您的网络服务器内容。
您可以下载脚本 generate-ssl-cert.sh where the solution is implemented and adopt it to your needs. Actually this script is a part of automation package known as Let's Encrypt SSL Add-On. The package is a Cloud Scripting 场景。
在 Linux 系统 运行 Lighttpd 上,如何自动为 Let's Encrypt 证书更新证书。 Let's Encrypt 为 Apache 2 和 NGINX 提供了很棒的脚本,但 Lighttpd 却没有,后者对于像 Raspberry Pi 或旧盒子这样的小型系统来说要舒服得多。
Danny Tuppeny 通过一个简单的脚本提供了一个很好的开始,您可以在他的博客 运行 posting Installing Lighttpd, PHP 7 and LetsEncrypt on a Raspberry Pi (Raspbian Jessie Lite)
# Renew cert
# updated for name change [mscalora]
letsencrypt-auto renew
# Rebuild the cert
pushd /etc/letsencrypt/live/<your-domain-here>/
cat privkey.pem cert.pem > combined.pem
popd
# Reload
/etc/init.d/lighttpd force-reload
基于最新的 Let's Encrypt 脚本包的更通用的版本可以在我的 Gist 中找到:letsencrypt-update-lighttpd。此脚本将使用证书处理多个域。
Danny Tuppeny 的博客 post 也有关于原始设置的信息。
有一个适用于任何网络服务器的通用 standalone 验证器(插件)。但是,如果您的服务器处理端口 80 上的请求,您将面临 certbots 说的问题 “此插件需要绑定到端口 80 才能执行域验证,因此您可能需要停止现有的网络服务器。 " 因此,如果您必须为网络服务器续订证书,它会在域验证期间停机。 如果您不关心这种停机时间,请按原样使用独立插件。
但是,有一个解决方案可以帮助您避免停机:
运行 certbot 参数:--standalone --http-01-port 123456 - 插件的网络服务器将在端口 12346 而不是 80 上启动,所以你不需要停止您的网络服务器。
设置并运行一个非常轻量级的中间反向代理,例如Tinyproxy:
yum -y install tinyproxy --enablerepo='epel';
将其配置为监听端口 12345。其配置如下所示:
User tinyproxy
Group tinyproxy
Port 12345
Timeout 6000
MaxClients 100
MinSpareServers 5
MaxSpareServers 20
StartServers 10
MaxRequestsPerChild 0
BindSame yes
DisableViaHeader Yes
ConnectPort 80
ConnectPort 12346
AddHeader "X-Forwarded-Proto" "http"
ReversePath "/" "http://127.0.0.1/"
ReversePath "/.well-known/acme-challenge/" "http://127.0.0.1:12346/.well-known/acme-challenge/"
ReverseOnly Yes
ReverseMagic Yes
它应该侦听 HTTP 流量并在两个网络服务器之间重定向请求。代理过滤流量并将包含“/.well-known/acme-challenge/”的 Let's Ecnrypt 验证请求重定向到插件的网络服务器端口 12346,并将常规 HTTP 请求重定向到您的网络服务器端口 80.
- 使用 iptables 创建 HTTP 流量重定向以将代理从端口 80 反向到端口 12345,并接受新端口上的流量:
iptables -I 输入 -p tcp -m tcp --dport 12346 -j 接受 iptables -I 输入 -p tcp -m tcp --dport 12345 -j 接受 iptables -t nat -I PREROUTING -p tcp -m tcp ! -s 127.0.0.1/32 --dport 80 -j 重定向 --to-ports 12345
- 验证完成后立即删除上述防火墙规则并停止代理服务器。
这就是您获得自动 Let's Encrypt 证书续订的全部内容,无需停机,也无需更改您的网络服务器内容。
您可以下载脚本 generate-ssl-cert.sh where the solution is implemented and adopt it to your needs. Actually this script is a part of automation package known as Let's Encrypt SSL Add-On. The package is a Cloud Scripting 场景。