一日一技 | 一篇教你搞定 SSL 证书监控和续签

数字证书颁发机构 Gworg（光网）宣布，从 2023 年 12 月 31 日开始，将停止签发为期一年的「TRUSTASIA」单域名 SSL 证书，这是市场上最后一款提供一年期免费 SSL 证书的产品。

鉴于阿里云等国内服务商广泛采用此证书，这意味着使用免费证书的网站需要每 3 个月进行一次续期。而网站的 SSL 证书一旦过期，网站便无法通过 HTTPS 安全访问，在主流浏览器中将无法打开，或者会显示安全警告。这一调整使得管理多个域名或子域的难度显著增加，许多个人网站和图床也面临因证书过期而暂时下线的威胁。

本文将介绍几种有效的 SSL 证书续签和监控方法，并通过申请免费的泛域名证书来简化域名管理流程。

Certbot 自动续签

Certbot 是一个免费的开源应用，用于自动获取并续签 Let's Encrypt 提供的 SSL/TLS 证书。Certbot 支持泛域名的免费 SSL 证书，用户仅需一次性申请，即可实现对所有子域名的覆盖，大大简化了证书的管理工作。然而，Certbot 的自动续签功能依赖于 80 端口的访问，这在国内的家用宽带环境中常常受限。针对这种情况，可以使用反向代理工具 Nginx Proxy Manager 来实现自动续签。

以下是使用 Certbot 在 Debian 11 系统上，通过 certbot-dns-aliyun 插件自动获取和续签阿里云托管域名的泛域名 SSL 证书的具体步骤。如果你使用的是其他域名托管服务，如 Cloudflare，则将插件替换为 certbot-dns-cloudflare，其他步骤相同。

1. 安装 Certbot 和插件

首先，安装 Certbot：

sudo apt update

sudo apt install certbot

然后，安装 certbot-dns-aliyun 插件，以允许 Certbot 自动配置 DNS 记录，验证域名所有权。由于这个插件不在 Certbot 的官方仓库中，你可能需要使用 pip 来安装：

sudo apt install python3-pip

sudo pip3 install certbot-dns-aliyun

2. 配置 AccessKey 凭证

在阿里云控制台创建一个拥有 DNS 配置权限的 AccessKey 密钥。
创建一个文件来保存你的 AccessKey 凭证，并确保文件权限安全：

sudo mkdir /etc/letsencrypt
sudo touch /etc/letsencrypt/aliyun.ini

sudo chmod 600 /etc/letsencrypt/aliyun.ini

编辑 /etc/letsencrypt/aliyun.ini 文件，输入你的 AccessKey 密钥信息：

dns_aliyun_access_key = YOUR_ACCESS_KEYdns_aliyun_access_key_secret = YOUR_ACCESS_SECRET

3. 使用 DNS 插件获取证书

运行 Certbot 并指定 DNS 插件及配置文件：

sudo certbot certonly \--authenticator dns-aliyun \
  --dns-aliyun-credentials /etc/letsencrypt/aliyun.ini \

  --dns-aliyun-propagation-seconds 60 \-d "*.newzone.top" \-d newzone.top

-d 参数用于指定你想要证书覆盖的域名。上方的命令会为 newzone.top 和所有子域 *.newzone.top 获取证书，证书在同一个文件。如果有多个域名，可以用 -d 添加多个参数。

4. 自动续签证书

Certbot 默认会设置自动续签。你可以通过以下命令测试续签是否成功：

sudo certbot renew --dry-run

如果测试成功，Certbot 将自动处理证书续签。当证书剩余有效期不足 30 天时，系统便会自动续签，将有效期恢复至 90 天。

在使用 Certbot 与某些云服务提供商（如阿里云）进行首次自动续签时，Certbot 的自动续签行为有时可能被云服务平台误认为是异常的 Access Key 调用行为，导致系统自动触发安全警报。比如，阿里云半夜给我打电话通知风险（还好我开启了免打扰，尽管这类通知十分必要）。如果你接收到了此类通知，不必太担心，只需进行正常检查即可。

CDN 手动续签

对于使用图床或 CDN 服务的用户，由于云服务商的授权问题，证书可能无法通过 Certbot 等服务自动续签。例如，阿里云和七牛云都提供了 SSL 证书的相关接口，但根据客服的说法，这些接口并不能用于替换 CDN 的域名证书，自动续签只支持付费 SSL 证书，免费用户必须手动执行证书续签过程。

即使是手动续签，你依然可以继续使用通过自动化工具获得的泛域名证书。下面介绍手动续签的具体步骤：

一、定位证书文件

Certbot 的泛域名证书通常存放在 /etc/letsencrypt/live 目录下。对于使用 nginx-proxy-manager 的用户，证书则存储在 config/letsencrypt/archive 目录中，该目录下包含多个以 npm- 开头的编号文件夹，例如 npm-1，这里的数字表示证书的申请序号。

二、上传证书至 CDN

在 CDN 的管理界面中自定义上传证书来替换旧的泛域名证书。粘贴 fullchain.pem 文件的内容作为证书（公钥），privkey.pem 文件的内容作为私钥。

SSL 证书监测

定期监测 SSL 证书的状态是维护网站安全和可靠性的关键环节。这不仅有助于确保数据传输的加密，还能及时发现并解决证书过期或其他相关问题，避免网站访问受到影响。

我使用 Uptime Kuma 来监控 SSL 证书的状态，以下是监控设置步骤：

进入 Uptime Kuma 实例，点击右侧「+」按钮来添加一个新的监控项目。
选择监控类型。对于 SSL 证书监控，选择「HTTP(s)」类型，因为这涉及到监测一个使用 SSL 证书的网站或服务。
在下方「高级」设置中，勾选启用「证书到期时通知」。

完成这些步骤后，Uptime Kuma 将开始监控指定网站的 SSL 证书状态。如果证书接近到期日期，你将根据你的通知设置收到警报。Uptime Kuma 默认会在 TLS 证书剩余有效期少于 21 天、14 天、7 天时发送提醒通知。你也可以在设置>通知>TLS 证书过期通知，修改提前通知天数。

我很难理解国内云服务商对 SSL 证书的做法。提高 SSL 证书费用的同时增加免费证书续签的难度，这样的策略似乎是为了鼓励用户购买付费证书。然而，这种做法可能没有充分考虑到国内用户的付费习惯。对于像我这样的用户，云服务开销主要集中在服务器和 CDN 流量上，不会考虑昂贵的 SSL 证书。目前市场上，单域名 SSL 证书的年费用已超过 300 元，若需覆盖多个子域名，则需购买泛域名证书，费用更是高达 1000 元以上，这甚至超过了我为服务器所支付的费用。

云服务商的这种定价策略可能源自他们自身面临的高运营成本，如昂贵的商业宽带费用等。面对这样的压力，他们可能无奈地将成本转嫁到 SSL 证书等终端产品上。尽管这可以理解，但对于像我这种个人用户来说，当 SSL 证书的开销超过服务器本身时，显然难以接受。这也是我写这篇文章的原因。

> 下载少数派客户端、关注少数派小红书，感受精彩数字生活 🍃

> 实用、好用的正版软件，少数派为你呈现 🚀