流程:Let's Encrypt会进行ca验证是否属于你的域名
使用 --webroot 模式会在 /var/www/example 中创建 .well-known 文件夹,这个文件夹里面包含了一些验证文件,certbot 会通过访问 example.com/.well-known/acme-challenge 来验证你的域名是否绑定的这个服务器。这个命令在大多数情况下都可以满足需求,
可以看下面的连接进行查看参考下,然后我这边就是可能是这个服务器做了什么限制,所以我采用dns解析的方案
连接
一、安装
shell
# 安装 Certbot + 阿里云 DNS 插件 其他dns请看其他dns的方案问ai
sudo apt update
sudo apt install -y certbot python3-pip
sudo pip3 install certbot-dns-aliyun二、配置
shell
sudo mkdir -p /etc/letsencrypt
sudo vim /etc/letsencrypt/aliyun.ini写入(替换成你的 Key):
shell
dns_aliyun_access_key = LTAI5xxxxxx
dns_aliyun_access_key_secret = qomUxxxxxx必须改权限(防止泄露):
shell
sudo chmod 600 /etc/letsencrypt/aliyun.ini三、生成配置
-d xxx.com -d www.xxx.com是你的域名,生成成功后/etc/letsencrypt/live/xxx.com/证书的目录
shell
sudo certbot certonly \
--authenticator dns-aliyun \
--dns-aliyun-credentials /etc/letsencrypt/aliyun.ini \
--dns-aliyun-propagation-seconds 60 \
-d xxx.com -d www.xxx.com四、自动续费(关键)
1、测试自动续费
shell
sudo certbot renew --dry-run看到 Congratulations, all simulated renewals succeeded 即正常。
2、设置定时任务自动续费(自动续费后需要将证书替换docker里面,内容会变化)
shell
sudo crontab -e添加(每周一凌晨 3 点检查):
shell
0 3 * * * /usr/bin/certbot renew --quiet或者配置定时任务(自动续期 + 重载 Nginx)
shell
0 3 * * 1 /usr/bin/certbot renew --quiet --deploy-hook "systemctl reload nginx"--quiet:静默,只在出错时输出。
--deploy-hook:续期成功后自动重载 Nginx。
五、应急手动处理
shell
# 立即检查并续期(到期前才会执行)
sudo certbot renew
# 强制立即重签(测试用)
sudo certbot renew --force-renewal