(原创)宝塔面板配置Let's Encrypt证书自动续签失效及解决方案

一、背景小故事

笔者手里有个朋友交给我去日常运维项目是PHP+微信小程序,部署在Linux系统上。

这个项目是用宝塔面板去进行日常的可视化运维管理,用起来蛮香的。

如不清楚宝塔的同学,可以自行了解,这里就不详细说明。

我们都知道, 小程序请求的后端接口,要求是https协议的。所以后端服务器得配置上SSL证书。

我接手之前,这个项目的SSL证书是直接购买的,而且也要到期了。当时,我对宝塔面板是第一次接触,不是特熟悉。经过一段时间摸索,看到宝塔面板提供Let's Encrypt免费的SSL证书。这个证书有个缺点就是只有3个月的免费期限,到期后需要再去续期。

image.png

经过一番折腾,就给网站安排上了这个免费的证书。而且宝塔面板在这里也有明确提示:将在距离到期时间一个月内尝试自动续签

看到那个提示后,发现这个证书可以一直免费使用,那倒是省钱又省心了。

隔了3个月后,老板发来一条消息说:网站不正常了,给我看看呗

经过我一顿熟悉操作分析,排查服务器,排查应用,并利用fiddler抓包工具去进行抓包分析后,确定是Https协议到期导致的问题。

然后我在SSL配置界面上,手动去点了一下续签,等了一会儿,续签成功,网站又可以正常访问,告诉老板完美解决。

又经过一段时间后,老板又发来一条消息说,网站又不正常,再给我看看什么问题。

我一看到消息,知道又翻车了。不过这次我是轻车熟路,直接去手动点了一下续签,解决。

......

就这样,重复了很多次。

这样长久下去,也不是办法。

二、萌动想法

我得想出一个法子来解决这个问题。毕竟我们都是一枚程序员,专门去解决生活中出现的重复劳动力。

既然点一下续签,就可以解决证书到期问题。那我们能不能在程序里用定时任务+模拟请求来自动续签?

我就开始构想一下实现思路:

第一步:我们需要拿到续签按钮触发的后端服务接口及请求参数,后续能模拟请求。

第二步:验证接口是否可以直接请求成功,是否需要权限验证?经过验证,需要先登陆,才能请求成功。

第三步:还需要一个定时任务功能。经过确认 宝塔面板自带有任务计划功能。

带着这样的想法,开始去尝试实现,过程中有遇到很多问题,就不详细说明,主要都是在写Shell脚本构造请求参数传递。

我就直接上解决方案供同学们参考。

三、方案实践

3.1 找到续签请求接口

接口地址:http://IP:8888/ssl?action=Renew_SSL

image.png

如果我们直接请求该接口,会发现需要登陆,不能直接请求成功。

3.2 设置宝塔 API接口

经过查阅资料,宝塔面板提供了API接口,用密钥key生成token后,再发起请求就可以,而不需要用户名和密码。我们能方便直接使用宝塔里面的任何API接口。

面板设置 =》打开 API接口,拿到密钥key,并配置IP白名单。IP可以直接添加服务器IP。

第一步API接口打开

第二步拿到密钥和配置IP白名单

而且宝塔也提供了多个版本的API接口 Demo样例,可以很方便的集成。
样例地址:https://www.bt.cn/bbs/thread-20376-1-1.html

image.png

我比较熟悉Java,也就下载的JavaDemo研究的。

package com.raysonfang.bt.test;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.math.BigInteger;
import java.net.URL;
import java.net.URLConnection;
import java.security.MessageDigest;

/**
 * 宝塔API测试
 *
 * @author fanglei
 * @date 2021/02/21 10:44
 **/
public class BTTest {
    public static void main(String[] args)
    {
        try {
            String btSign = "宝塔API密钥";
            String url = "http://IP:8888/ssl?action=Renew_SSL";
            String timestamp = System.currentTimeMillis() + "";
            String md5Sign = getMd5(btSign);
            String temp = timestamp+md5Sign;
            String token = getMd5(temp);
            String json = "request_time="+timestamp+"&request_token="+token;
            String responseText = sendPost(url,json);
            System.out.println(responseText);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    
    public static String getMd5(String str) throws Exception
    {
        try {
            // 生成一个MD5加密计算摘要
            MessageDigest md = MessageDigest.getInstance("MD5");
            // 计算md5函数
            md.update(str.getBytes());
            // digest()最后确定返回md5 hash值,返回值为8为字符串。因为md5 hash值是16位的hex值,实际上就是8位的字符
            // BigInteger函数则将8位的字符串转换成16位hex值,用字符串来表示;得到字符串形式的hash值
            return new BigInteger(1, md.digest()).toString(16);
        } catch (Exception e) {
            throw new Exception("MD5加密出现错误,"+e.toString());
        }
    }
    
    public static String sendPost(String url, String param) {
        PrintWriter out = null;
        BufferedReader in = null;
        StringBuffer result = new StringBuffer();
        try {
            URL realUrl = new URL(url);
            // 打开和URL之间的连接
            URLConnection conn = realUrl.openConnection();
            // 设置通用的请求属性
            conn.setRequestProperty("accept", "text/xml,text/javascript,text/html,application/json");
            conn.setRequestProperty("connection", "Keep-Alive");
            // 发送POST请求必须设置如下两行
            conn.setDoOutput(true);
            conn.setDoInput(true);
            // 获取URLConnection对象对应的输出流
            out = new PrintWriter(conn.getOutputStream());
            // 发送请求参数
            out.print(param);
            // flush输出流的缓冲
            out.flush();
            // 定义BufferedReader输入流来读取URL的响应
            in = new BufferedReader(new InputStreamReader(conn.getInputStream()));
            String line;
            while ((line = in.readLine()) != null) {
                result.append(line);
            }
        } catch (Exception e) {
            System.out.println("发送 POST 请求出现异常!"+e);
            e.printStackTrace();
        }
        //使用finally块来关闭输出流、输入流
        finally{
            try{
                if(out!=null){
                    out.close();
                }
                if(in!=null){
                    in.close();
                }
            }
            catch(IOException ex){
                ex.printStackTrace();
            }
        }
        return result.toString();
    }
}

下载demo 研究请求参数构成,并调试成功。

3.3 设置定时任务,模拟请求

宝塔 直接提供有计划任务功能,我们先看看能不能实现我们想要的功能,如果不能,我们再想其他办法解决。

计划任务

我看了任务类型有:Shell脚本, 备份网站,备份数据库,日志切割,释放内存,访问URL。

其中Shell脚本和访问URL这两种任务类型跟我们想要的很接近,其他的都不怎么适合。

访问URL,这种类型也可以排除,是因为这里采用直接配置URL,适合无动态参数,无权限验证的URL。

那剩下的就只有Shell脚本来实现。

我们知道Shell脚本也是一种编程语言脚本,那我们就用它来模拟请求了。

经过几个小时的研究,把shell脚本写出来。还是很费劲,对于Shell脚本里的参数传递语法不怎么熟悉,也反复去尝试,才摸索清楚。

#!/bin/bash

# 获取时间戳
cur_timestamp=$((`date '+%s'`*1000+`date '+%N'`/1000000))
# 宝塔密钥
api_sk='uSth3rmADQ9Np5Zyhxxxxxxxxxxxxxxx'
# 密钥MD5加密
key=`echo -n $api_sk|md5sum|cut -d" " -f1`
# 生成token
request_token=`echo -n $cur_timestamp$key|md5sum|cut -d" " -f1`
# 构造请求参数,并通过curl发送请求
curl -i -X POST -d "request_token=$request_token&request_time=$cur_timestamp" http://ip:8888/ssl?action=Renew_SSL

把Shell脚本的密钥和IP进行替换,就可以直接去任务计划添加上,然后手动执行一下看看 是否可以运行成功

注意:第一次添加任务后,需要手动点执行,并在日志去查看是否执行成功

任务执行成功

至此,以后可以放心交给程序自动续签。

四、总结

也许官方已经解决了自动续签的问题,而我这个也许是个偏方,但是这里面还是包含抓包,定时任务,接口鉴权,Shell脚本等知识运用。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,214评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,307评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,543评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,221评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,224评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,007评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,313评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,956评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,441评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,925评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,018评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,685评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,234评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,240评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,464评论 1 261
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,467评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,762评论 2 345

推荐阅读更多精彩内容