使用westssl工具實(shí)現(xiàn)自動(dòng)更新SSL證書的流程

quanshiyinian · 發(fā)表于 2024-3-18 18:53:16

親注冊(cè)登錄道勤網(wǎng)-可以查看更多帖子內(nèi)容哦�。ò蕡D片、文字詳情等）請(qǐng)您及時(shí)注冊(cè)登錄-bmrsportswear.com

您需要登錄才可以下載或查看，沒有賬號(hào)？立即注冊(cè)

x

SSL證書默認(rèn)有效期默認(rèn)為1年，部分免費(fèi)證書的默認(rèn)有效期為3個(gè)月。您必須在證書到期前的30個(gè)自然日內(nèi)續(xù)費(fèi)并更新證書，才能延長(zhǎng)證書的服務(wù)時(shí)長(zhǎng)。證書續(xù)費(fèi)時(shí)，
會(huì)頒發(fā)一個(gè)新的證書，您收到新證書后需要手工更新到服務(wù)器上。部分證書支持一次性購買多年，但仍然是每次簽發(fā)一年的證書，到期前30天左右會(huì)自動(dòng)重新簽發(fā)。

如果管理的證書較多，經(jīng)常去手工更新不但麻煩而且容易遺漏或出錯(cuò)。因此西部數(shù)碼提供了本工具來實(shí)現(xiàn)證書續(xù)費(fèi)重新頒發(fā)后的自動(dòng)更新流程。

要想實(shí)現(xiàn)證書的自動(dòng)化續(xù)費(fèi)，需要滿足條件：

自動(dòng)化DNS驗(yàn)證（SSL證書和域名在相同的西部數(shù)碼會(huì)員帳號(hào)下，如果是騰訊、阿里的域名，支持在我司控制面板中設(shè)置apikey的方式來完成驗(yàn)證，
如果域名在第三方平臺(tái)，建議轉(zhuǎn)入我司統(tǒng)一管理，否則需要在重簽證書時(shí)再次驗(yàn)證）
證書重新簽發(fā)后能自動(dòng)更新證書。（如果證書是用于西部數(shù)碼的虛擬主機(jī)/高防服務(wù)器/亞數(shù)云服務(wù)器，在完成證書續(xù)費(fèi)重新頒發(fā)后，
系統(tǒng)會(huì)自動(dòng)更新證書不需要任何操作。證書用于西部數(shù)碼普通云服務(wù)器或第三方的服務(wù)器場(chǎng)景時(shí)，可通過本工具和任務(wù)計(jì)劃實(shí)現(xiàn)自動(dòng)更新ssl證書 ,
使用此工具您的證書需在我司申請(qǐng)或者托管證書在我司.）
能滿足以上條件的場(chǎng)景，在購買時(shí)選中“自動(dòng)續(xù)費(fèi)”功能，就能一勞永逸。需要確保會(huì)員余額足夠。

Westssl工具有Windows和linux兩個(gè)版本. 此工具用于西部數(shù)碼普通云服務(wù)器或第三方的服務(wù)器場(chǎng)景，可實(shí)現(xiàn)證書重簽后對(duì)證書自動(dòng)更新，同時(shí)也支持通過命令行方式調(diào)用API
批量購買新證書（見文尾幫助）。

環(huán)境要求:服務(wù)器上必須已經(jīng)部署過ssl證書,web服務(wù)為iis/apache/nginx中的一種.
（證書的首次部署不屬于本文介紹的范圍，一般來說windows主機(jī)可通過我司提供的網(wǎng)站管理助手部署，Linux主機(jī)一般通過寶塔面板部署）

使用westssl工具需要設(shè)置ssl證書的專用api密鑰,可以在"會(huì)員管理中心---賬號(hào)管理---設(shè)置中心---SSL證書API密鑰設(shè)置,這里設(shè)置"或者重置

linux(centos)系統(tǒng)下載方法 ssh遠(yuǎn)程服務(wù)器,然后執(zhí)行

wget http://downinfo.myhostadmin.net/westssl/westssl.zip -O /root/westssl.zip && unzip -o /root/westssl.zip && rm -f /root/westssl.zip && chmod +x /root/westssl

輸入 /root/westssl 使用

Windows服務(wù)器系統(tǒng)下載方法 ,遠(yuǎn)程服務(wù)器,使用瀏覽器下載 http://downinfo.myhostadmin.net/westssl/westssl.exe , 建議保存在 d:\cert 目錄。

cmd命令行切換到 d:\cert .輸入westssl.exe 使用

westssl版本號(hào):westssl version 1.0.50

1.下載完畢后,首先進(jìn)行初始化 (重要) 初始化完成會(huì)自動(dòng)生成 .westssl\config.ini,請(qǐng)勿刪除

/root/westssl init

重啟重載web服務(wù)命令可以選擇對(duì)應(yīng)編號(hào),也可以自己手動(dòng)輸入,請(qǐng)務(wù)必?fù)?jù)實(shí)輸入!

2.查看當(dāng)前服務(wù)器證書列表 /root/westssl show

寶塔和西部數(shù)碼建站助手創(chuàng)建的web環(huán)境，系統(tǒng)會(huì)識(shí)別相關(guān)證書，不需要手工添加，可以忽略本步驟。

非寶塔和西部數(shù)碼建站助手創(chuàng)建的web環(huán)境, 需要手動(dòng)添加ssl證書路徑，才能實(shí)現(xiàn)自動(dòng)更新ssl證書。在show命令下，輸入 1 表示添加一個(gè)域名證書。v

3.您可以通過計(jì)劃任務(wù)方式,完成自動(dòng)更新證書：更新證書命令 /root/westssl update

linux任務(wù)計(jì)劃設(shè)置方式

1.寶塔環(huán)境通過面板任務(wù)計(jì)劃添加每天定時(shí)更新

腳本內(nèi)容:

cd /root

/root/westssl update

保存任務(wù)計(jì)劃即可每天自動(dòng)更新ssl證書

2. Linux非寶塔環(huán)境,使用命令“crontab -e”添加任務(wù)計(jì)劃

30 1 * * * /root/westssl update

以上命令代表每天1點(diǎn)30分,執(zhí)行自動(dòng)更新ssl證書

Windows任務(wù)計(jì)劃設(shè)置方式

任務(wù)計(jì)劃程序添加定期運(yùn)行此工具

在管理員身份運(yùn)行cmd 執(zhí)行：

schtasks /create /RU system /SC DAILY /F /TN westssl_auto_update /TR "D:\cert\westssl.exe update -c D:\cert\.westssl\config.ini" /ST 01:00
其中：
westssl_auto_update 計(jì)劃任務(wù)名稱
"D:\cert\westssl.exe update -c D:\cert\.westssl\config.ini" 要執(zhí)行的程序及參數(shù)
/ST 01:00 每天1:00執(zhí)行

復(fù)制代碼

成功創(chuàng)建計(jì)劃任務(wù)后即可每天1點(diǎn)自動(dòng)更新ssl證書.

注：

1、 westssl update 在windows系統(tǒng)下會(huì)在 .westssl 下級(jí)目錄生成westcertapp.exe執(zhí)行文件，此是正常更新文件放心使用。

若此文件執(zhí)行失敗IIS對(duì)應(yīng)站點(diǎn)證書會(huì)更新失敗，會(huì)影響網(wǎng)站正常訪問。

2、westssl update 這個(gè)命令會(huì)自動(dòng)檢測(cè)當(dāng)前服務(wù)器上所有證書的到期時(shí)間，如果離到期時(shí)間小于30天，或過期30天以內(nèi)的，

會(huì)自動(dòng)調(diào)用西部數(shù)碼SSL證書api接口，來檢查相關(guān)的域名有沒有新的證書頒發(fā)成功，如果有，則自動(dòng)下載新證書進(jìn)行替換，

替換后會(huì)執(zhí)行相關(guān)的命令來重啟IIS/apache/ngix以使新證書生效。

-----------------------------------------------------------------------------------------------------------------

用westssl來批量購買證書的流程：(注：可以輸入westssl.exe -h來顯示幫助提示，接iisue命令表示申請(qǐng)新證書)

D:\cert>westssl.exe issue

缺少必要參數(shù)!

申請(qǐng)證書

Usage:

westssl issue [flags]

Flags:

-c, --config string Config file (default "config.ini")

--dns SSL證書DNS驗(yàn)證方式 [file,dns 驗(yàn)證必須二選一]

-d, --domain string [必填]申請(qǐng)SSL證書域名;此參數(shù)支持3種模式:

1) 單域名.

2) 多個(gè)域名,必須用逗號(hào)(,)分隔.

3) 域名批量購買,必須是域名列表文件完整路徑,要購買的域名放在這個(gè)文件中一行一個(gè).

--file SSL證書文件驗(yàn)證方式 [file,dns 驗(yàn)證必須二選一]

-h, --help help for issue

-t, --type string [必填]常見證書類型:

1) 通用型DV: dv-350

2) 試用90天DV: free-trial

更多產(chǎn)品型號(hào)請(qǐng)?jiān)L問API接口查詢 https://console-docs.apipost.cn/ ... 5-9a8f-e421b7707a1c

D:\cert>westssl.exe issue --dns -t free-trial -d mytest123.com

或者：

D:\cert>westssl.exe issue --dns -t free-trial -d D:\cert\mydomains.txt 把要購買的域名都放在這個(gè)txt文件中批量購買。

-----------------------------------------------------------------------------------------------------------------

用westssl來批量下載購買的證書

D:\cert>westssl.exe online

在線SSL證書下載

Usage:

westssl online [flags]

Flags:

-c, --config string Config file (default "config.ini")

--domain string 下載域名對(duì)應(yīng)證書:

1、多個(gè)域名必須用逗號(hào)(,)分隔.

2、all 表示下載所有證書.

3、證書批量下載列表文件完整路徑,要下載的證書域名放在這個(gè)文件中一行一個(gè).

-h, --help help for online

--show 查看在線證書列表

D:\cert>westssl.exe online --domain mytest123.com

或者：

D:\cert>westssl.exe online --domain D:\cert\mydomains.txt 把要下載的證書域名都放在這個(gè)txt文件中批量下載。

D:\cert>westssl.exe online --show 可查看在線的證書列表

道勤主機(jī)提供365天*24小時(shí)全年全天無休、實(shí)時(shí)在線、零等待的售后技術(shù)支持。竭力為您免費(fèi)處理您在使用道勤主機(jī)過程中所遇到的一切問題! 如果您是道勤主機(jī)用戶，那么您可以通過QQ【792472177】、售后QQ【59133755】、旺旺【詮釋意念】、微信：q792472177免費(fèi)電話、后臺(tái)提交工單這些方式聯(lián)系道勤主機(jī)客服！如果您不是我們的客戶也沒問題，點(diǎn)擊頁面最右邊的企業(yè)QQ在線咨詢圖標(biāo)聯(lián)系我們并購買后，我們?yōu)槟赓M(fèi)進(jìn)行無縫搬家服務(wù)，讓您享受網(wǎng)站零訪問延遲的遷移到道勤主機(jī)的服務(wù)！